セキュリティポリシー(情報資産保護に関する基本方針)
1.総則
(1)目的
当金庫は金融機関としての社会的責任を果たすため、当金庫が保有する情報資産(以下「情報資産」という。)を適切に保護し管理しなければならない。万が一にも情報資産の漏洩、紛失、不正使用、改ざん(以下「漏洩等」という)が行われ、または災害、故障その他の理由により情報システムが停止した場合には、当金庫の業務遂行に重大な影響が及ぶことはもとより、企業イメージが低下し信用が失墜することにより当金庫に多大な損失がもたらされ、地域の中小企業者や住民の方々にご迷惑をおかけすることになる。このため当金庫は情報資産の安全対策に関する基本方針として、本情報資産保護に関する基本方針(以下「本基本方針」という。)を定めた。
(2)本基本方針の位置付け
本基本方針は、情報資産の保護に関する諸規程の最上位に位置するものであり、情報資産保護のための具体的施策に関しては関連規程・規則に定めるものとする。
(3)役職員の責務
当金庫の役職員(時間労働者、派遣社員、短期労働者を含む。以下において同じ。)は本基本方針が有効に機能するように努めなければならない。
2.情報資産
(1)情報資産の定義
情報資産とは、当金庫が保有する各種情報と、各種情報を適切に処理しまたは各種情報が正当に保護され、使用されるための情報システムの総称であり、以下のとおり分類する。
1.情報の分類
最重要情報 漏洩等の行為がなされることにより、当金庫の顧客に多大な影響を与え、または当金庫への信頼を著しく失墜させる可能性のある情報
・顧客の属性や財産、取引情報、暗証番号
・経営にかかわる機密情報
重要情報 漏洩等の行為がなされた場合の影響が、当金庫内に限られると判断できる情報
・情報システムのユーザーID/パスワード
・人事情報
・その他の対外秘情報
一般情報 最重要情報、重要情報に該当しない情報
・上記以外の情報
2.情報システムの分類
最重要システム 障害等が発生した場合に、当金庫の顧客や金融システムに多大な影響を与え、また               は当金庫への信頼を著しく失墜させる可能性のある情報システム
・入出金にかかわる勘定系システム
・為替にかかわる勘定系および対外系システム
・ファームバンキングシステム
・テレホンバンキングシステム
・インターネットバンキングシステム
重要システム 障害等の発生が当金庫の業務に及ぼす影響は比較的大きいが致命的大きさにはなら               ないと判断される情報システム
・情報系システム
・代理業務接続システム
・保険窓販代理店接続システム
一般システム 障害等の発生による影響が当金庫内に限定されると判断できる情報システム
・最重要、重要システムに該当しないシステム
(2)情報資産の保護
情報資産の保護に関しては、各情報資産の重要度やそれを取り巻く脅威および脅威の顕在化の可能性を考慮した上で現状での技術水準やコストを認識し、合理的なリスク対策を行う。
3.セキュリティ管理体制
(1)セキュリティ管理体制の整備
1. セキュリティ統括責任者として情報セキュリティ担当役員をおく。情報セキュリティ担当役員には情報セキュリティ統括部門の担当役員があたる。
2. 情報セキュリティの維持管理を当金庫全体で統一的に行うために、情報セキュリティ統括部門を設置するとともに必要な体制を整備する。
3. 情報セキュリティ統括部門は、最重要システムを担当している業務部とし、業務部は関係する部署と連携して情報セキュリティに関する各種規定を確立するとともにその周知徹底に対して責任を負うものとする。
4. 各部門長は、セキュリティ管理者として自部門における情報資産の適切な使用と管理に対して責任を負う。また、部門内にセキュリティ担当者を任命する。セキュリティ担当者は、各部門の情報資産を管理している担当役席者とする。
5. 各部門におけるセキュリティ担当者は、日常的に自部門における情報セキュリティの周知、維持、管理を遂行するために検査体制・手段を整備し、必要な検査を実施するとともに情報セキュリティ統括部門の要請に応じて協力を行う。
(2)検査体制
当金庫は情報資産が適切に保護・管理されていることを確認するため、検査部による内部検査時にその検証を行う。検査部は検証の結果を情報セキュリティ統括責任者に報告する。
4.遵守のための方策
(1)役職員の遵守
1. 当金庫の役職員は原則として本基本方針に反する行為を行ってはならず、本基本方針に反する行為の命令を行ってはならない。
2. 情報セキュリティに対する意識の向上と必要な知識を習得するために、本基本方針をはじめとする関連規程・規則(以下「本基本方針等」という。)について適切な指導・研修を行うものとする。
(2)外部委託先への協力要請
当金庫は、外部委託先に対し当金庫の役職員が本基本方針を遵守するべきことを説明したうえ、本基本方針が有効に機能するように協力を求めていくものとする。
(3)例外の扱い
当金庫の役職員は、本基本方針等に定められていない事象に遭遇した場合や、業務上の諸事情により本基本方針等に反さざるを得ない事象に遭遇した場合には、速やかに情報セキュリティ統括部門に報告し、指示を仰ぐこととする。
(4)本基本方針等の範囲
本基本方針の関連規程とは、次に掲げる規程等をいう。
1.顧客情報管理規程
2.電子情報管理規程
3.機器設備管理規程
4.外部委託管理規程
5.情報システム利用規程
6.インターネット利用規程
5.危機管理
本基本方針等への重大な違反行為があった場合や、当金庫の情報システム等に災害、事故等による危機的状況が発生した場合には、別に定める危機管理計画に基づき事態への対応を行う。
6.権利の制限
本基本方針で定めた情報資産はすべて当金庫の資産である。したがって安全対策のため、それらの内容や記録を検査することがある。
7.本基本方針の検証と改廃
(1) 情報セキュリティ統括部門は、ビジネス環境の変化や技術の進展等を考慮して、保護すべき情報資産およびセキュリティ管理体制を見直すものとする。
(2) 本基本方針の制定および改廃は、理事会決議をもってこれを行う。
附 則
本基本方針は、平成17年3月28日より施行する。
戻る