情報セキュリティ基本方針

第二東京弁護士会情報セキュリティ基本方針

1 目的

本基本方針は、当会が保有する情報資産の機密性、完全性及び可用性を維持するため、当会が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2 定義

(1) ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウェア)をいう。

(2) 情報システム
コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。

(3) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。

(4) 情報セキュリティインシデント
望まない単独若しくは一連の情報セキュリティに影響を及ぼすべき事象、又は予期しない単独若しくは一連の情報セキュリティに影響を及ぼすべき事象であって、事業運営を危うくする確率又は情報セキュリティを脅かす確率が高いものをいう。

(5) 情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準をいう。

(6) 機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(7) 完全性
情報が破壊、改ざんまたは消去されていない状態を確保することをいう。

(8) 可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

(9) 職員等
本会の役員(会則34条)、常議員(同第50条)、嘱託(嘱託規則第1条)、多摩支部役員(第二東京弁護士会多摩支部会規7条)、事務局職員(会則第109条)、嘱託職員等(嘱託職員、パート職員及びアルバイト職員等に関する就業規則第1条)をいう。

3 対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等非意図的要因による情報資産の漏えい・破壊・消去等

(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等

(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

4 適用範囲

(1) 適用される機関の範囲
本基本方針が適用される機関は、会長、副会長、調査室、広報室、多摩支部、監事、常議員会、総会、事務局とする。

(2) 情報資産の範囲
本基本方針が対象とする情報資産は、本会が保有または管理する資産及び情報のうち、次のとおりとする。
①ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
②ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
③情報システムの仕様書及びネットワーク図等のシステム関連文書

5 情報セキュリティ対策

上記3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
①情報セキュリティ対策を推進する組織体制の確立
②情報資産の分類と管理
③物理的セキュリティ
④人的セキュリティ
⑤技術的セキュリティ
⑥情報セキュリティ対策の運用の確立
⑦外部サービスの利用の際の対策
⑧情報セキュリティ対策の評価・見直し措置