情報セキュリティ基本方針
合同会社レオニードメンタルラーニング

第1章 総  則

(目的)

第 1 条 本規程は、合同会社レオニードメンタルラーニング(以下「当社」という)の情報システムに関する企画、開発・調達、導入、保守、運用、安全管理、委託管理の方針及び手続について定め、情報システムの有効性及び効率性、準拠性、信頼性、可用性、機密性を確保することを目的とする。

(適用範囲)

第 2 条 本規程は、当社の情報システムを利用した業務(以下「IT業務」という)に関する企画開発から運用管理にいたる一連の活動について適用する。

(用語の定義)

第 3 条 本規程における用語の定義は以下の通りとする。

情報統括責任者(CIO):当社におけるIT業務に関する最高責任者で、情報システム部担当役員がこれにあたる。 情報システム(システム):コンピュータを利用して業務処理を行うための一連の仕組み。 有効性及び効率性:情報が業務に対して効果的、効率的に提供されていること。 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること。 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されることで、正当性、完全性、正確性を含む。 可用性:情報が必要とされるときに利用可能であること。 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること。

(所管)

第 4 条 当社IT業務の所管部門は情報システム部とする。また、システム企画に関する責任者は情報統括責任者とし、その他のIT業務に関する責任者は情報システム部長とする。

 

第2章 システム企画

 

(戦略計画の策定)

第 5 条 情報統括責任者は、当社経営戦略に基づき、当社を取り巻くIT環境及び情報システム利用部門の要望を調査したうえで、IT業務に関する基本方針、整備・運用に係る予算等を含めた戦略計画(以下「IT戦略計画」という)を策定し、経営会議にて承認を受ける。

(リスク評価)

第 6 条 情報統括責任者は、IT戦略計画の立案に先立ち、IT業務に関するリスク評価の方針を定め、情報システム部に指示をしてリスク評価を行い、その結果をIT戦略計画及び本規程に反映させる。

(計画の管理)

第 7 条 情報統括責任者は、IT戦略計画の実行状況を管理し、その整備・運用の状況について情報システム部より適宜報告を受け、必要に応じて改善を指示する。

 

第3章 システム開発・調達

 

(システム開発・調達計画)

第 8 条 情報システム部は、IT戦略計画及び利用部門からの要請に基づき、当年度のシステム開発又は調達の計画を立案し、決裁権限規程に従って所定の承認を受ける。

(システム開発手順)

第 9 条 情報システム部は、システム開発に当たっては開発手法に応じて、以下の手順を適宜選択し、実行する。

要件定義 基本設計 詳細設計 プログラミング テスト 本番移行 システム運用

 2  開発規模が情報システム担当責任者の決裁権限以下のシステム開発の場合、その重要性を考慮した上で上記手順の(1)~(3)は省略できるものとする。

 3  パッケージソフトウェア等を調達する場合は、上記手順の(2)~(4)は省略できるものとする。なお、パッケージソフトウェア等調達の場合は本章の以下の条項に関して「開発」を「調達」と読み替えるものとする。

(システム機能の明確化)

第10条 情報システム部は、承認を受けたシステム開発計画に従って、システム化対象業務の調査・分析を行い、システム機能を明確にする。

 2  情報システム部は、機能を明確にする際は手作業とIT化領域について適切に判断し、システムに財務データの適正性を保証する不正・誤謬防止機能を盛り込むなど内部統制の確立に配慮しなければならない。

 3  情報システム部は、システムに統制機能を盛り込む際には、ITを利用することによる新たなリスクについても考慮しなければならない。

(ドキュメントの作成)

第11条 情報システム部は、開発手法に応じ、開発の各段階で以下のようなドキュメントを作成して保存する。以下のドキュメントの作成は必須ではなく、システムの規模や開発手法の特性に応じて適宜選択又は変更する。

要件定義書 基本設計書 詳細設計書・システム仕様書 プログラム仕様書 テスト計画書・テスト報告書 移行計画書 システム運用計画書・操作マニュアル

  2 情報システム部は、開発手法に応じ、利用部門等の関係者とともに開発の各段階で打ち合わせを行い、作成したドキュメントをレビューする。レビューが完了したドキュメントは情報システム部及び利用部門の責任者が承認する。

(テスト)

第12条 情報システム部は、利用部門とともにテスト項目を決定し、テスト計画書を作成する。

 2  情報システム部は、利用部門の参画の基にテストデータを作成し、利用部門の参画の基にテストを実施する。なお、テストは本番と隔離した環境で実施する。

 3  テスト結果はテスト報告書として記録し、情報システム部及び利用部門が承認する。

(本番移行)

第13条 情報システム部は利用部門と協議の上、テストの完了した情報システムの本番環境への移行手順とスケジュールを決定する。

 2  開発した情報システムの本番環境への移行は、開発担当者と異なる情報システム部の所定の責任者が実行する。

 

第4章 システム変更・保守

 

(変更申請)

第14条 情報システムの利用部門は、既存のシステムの変更・保守(以下「システム変更」という)に関する要望がある場合は、「システム変更依頼書」を作成し、利用部門長の承認を受けた上で情報システム部に申請する。

(変更の審査・承認)

第15条 情報システム部は、利用部門より申請があった「システム変更依頼書」を審査し、システム変更の必要性、費用対効果を判断の上、「システム変更依頼書」に回答を記載し情報システム部長の承認を受け、利用部門に回答する。

(変更手順)

第16条 情報システム部は、システム変更が必要であると判断した場合は、その規模に応じて第3章の手順に準じてシステム変更を行う。

  2 システム変更を行った場合は、必ず該当するドキュメントも変更し、所定の承認を受けた上で保存する。

(緊急時の対応)

第17条 情報システム部は、利用部門より緊急のシステム変更依頼があった場合、情報システム部長又は情報システム部長より権限を委任された役職者の承認を受けた上で、対応する。

  2 緊急のシステム変更を行った場合も、利用部門長の承認を受けた「システム変更依頼書」を徴収し、該当するドキュメントも変更の上、所定の承認を受け保存する。

 

第5章 システム運用

 

(利用者教育)

第18条 情報システム部は、新たに導入又は変更した情報システムについて、利用者及び運用担当者の教育の必要性を検討し、必要に応じて教育を計画し、実行する。

(運用担当者)

第19条 情報システム部長は、本番移行した情報システムに関して、利用部門責任者と協議のうえ、運用担当者を任命する。

  2 運用担当者は、開発担当者と別のものを任命し、その職務を分離する。

(運用手順の作成)

第20条 情報システム部は、必要に応じて運用手順を定め、運用担当者に順守させる。

(運用計画)

第21条 運用担当者は、運用手順に従ってシステム規模、システム特性、業務処理の優先度等を考慮した運用計画を策定し、情報システム部長の承認を受ける。

  2 運用担当者は、運用計画に従って情報システムを運用し、その結果を記録する。

(緊急・例外処理)

第22条 利用部門は緊急処理又は例外処理の必要がある場合は、作業依頼書を作成し、責任者の承認を受けた上で運用担当者に依頼する。

  2 運用担当者は、緊急処理又は例外処理の依頼を受けた場合、情報システム部長の承認を受けた上で、処理を実行する。

(バックアップ)

第23条 運用担当者は、システムの障害の可能性、システム障害の影響度に応じ、バックアップの必要性を検討し、バックアップ計画を策定し適切にバックアップを行う。

  2 運用担当者は、必要に応じてバックアップからのリカバリテストを実施する。

(システムの監視)

第24条 運用担当者は、情報システムの特性に応じ、システム資源、システムの正常運行、障害発生の有無などを監視し、適切に対応する。

  2 運用担当者は、情報システムの特性に応じ、作業ログ、障害ログなど適切なシステムログを記録し、保存する。

 

第6章 安全性の確保

(セキュリティ基本方針)

第25条 情報システムの安全性の確保は、別に定める情報セキュリティ基本方針及び情報セキュリティ関連規程類の定めに従う。

(アクセス管理)

第26条 情報システム部は、対象となる情報システムの業務上及びセキュリティ上の要求を考慮の上、職務権限規程に従って利用者にアクセス権限を付与する。

  2 利用者の登録、変更、削除は、利用部門責任者が申請し、情報システム部長が承認した上で、実行する。

  3 利用者の役割又は職務の変更、異動、退職等が発生した場合は、利用部門責任者は直ちに利用者登録の変更又は解除を行わなければならない。

  4 情報システム部は、利用者の登録状況を定期的に点検し、長期間利用されていない利用者ID等があった場合は、調査の上必要に応じて変更、停止又は削除する。

  5 利用者にパスワードを割り当てる場合は、推測しやすいものは避け、定期的に変更させる。

  6 情報システム部は、対象となる情報システムの特性に応じて、アクセスログを取得し、定期的に検証し保管する。

(特権管理)

第27条 情報システム部は、特権IDの付与にあたっては、必要最低限の担当者に限定したうえで、毎年1回見直しをする。

  2 情報システム部長は、特権IDの利用記録を検証する等、特権IDの利用状況を厳正に管理する。

(インシデント管理)

第28条 情報システムの事故・障害が発生した場合は、運用担当者又は情報システム部(以下「運用担当者等」という)に報告する。

  2 運用担当者等は、情報の事故・障害の程度に応じて緊急対応の必要性を判断し、緊急処置を行う。

  3 運用担当者等は、事故・障害の内容を記録し、情報システム部長に報告する。

  4 情報システム部長は、事故・障害の内容に応じて、対応の責任者を任命し、事故・障害の原因を究明して、再発防止のために恒久対策を実施させる。

  5 対応の責任者は、事故・障害の原因、対策を記録し、情報システム部長及び関係する各部門責任者に報告する。

(システム監査)

第29条 情報システム及びIT業務に関する監査は、情報システム部から独立した監査室が定期的に実施する。

 

第7章 委託先管理

 

(委託先の選定)

第30条 情報システムの開発、保守、運用、その他IT業務を外部に委託する場合は、以下の事項を適切に評価し、委託先を選定する。

経営状態 過去の取引実績 技術力・人的体制 同種の業務の経験 保有する公的資格 品質及び納期維持体制 その他委託する業務の遂行能力

(委託契約)

第31条 IT業務を外部に委託する場合は、以下の事項を明確にした業務委託契約を締結する。

委託業務内容 当社と委託先の責任範囲 委託期間 安全管理に関する事項 委託契約終了後の貸与情報資産の返還・消去・廃棄に関する事項 再委託に関する事項 委託業務遂行に関する当社への報告の内容及び頻度 契約内容を遵守していることを当社が確認できること 契約内容が遵守されなかった場合の措置 事件・事故が発生した場合の報告・連絡

(委託先の監督)

第32条 情報システム部は、IT業務の委託先に対し、合意した契約に基づく委託業務のサービスレベルを定期的に評価し、委託先を監督する。

 

付 則

本規程は、2020年1月14日より施行する。

合同会社レオニードメンタルラーニング