都心型データセンターのビットアイル | ビットアイルの情報セキュリティ基本方針

株式会社ビットアイルデータセンターの情報セキュリティ基本方針は、データセンターにおけるコロケーションサービスを中核とした全てのサービスを利用されるお客様並びに取引先から信頼され安心してご利用いただくと同時に、データセンターとして相応しい情報セキュリティの水準を総合的、体系的かつ継続的に確保することを目的とする。

このセキュリティ基本方針は、ビットアイルデータセンターのコロケーションサービスを中核とした全てのサービスに関わる情報資産の生成、運用、管理および利用に携わる以下の者（以下、従業員）に適用する。

　　1. データセンター従業員
　　2. 契約により認められた事業者

データセンターの運営に関わる者すべてが本趣旨を理解し、情報漏洩などの事件・事故や電源供給・ネットワークなどのサービス一時停止が起こらないよう、セキュリティ基本方針および運用手順を熟知、遵守し情報セキュリティの向上を目指す事を目標とする。

紙文書・電子データ・ハードウェア・ソフトウェア並びにサービスを情報資産とし、これらについて高い機密性・完全性・可用性の確保を行っていかなければならない。コロケーションサービスを中核とした全てのサービスの性質上、情報資産の機密性および可用性を重視する。

具体的行動指針

• 利用者データや当社の情報資産が故意又は不注意によって、許可されていない者に開示されないようにすること。
• 監視システムおよび当社入退室管理規定に従った、人的侵入に対するセキュリティの実施。
• 利用者が必要な場合に、サービスを受けられる状態を提供する利用可能性の確保。
• コンピュータウイルスやワームへの継続的な対策の実施。
• 災害・重大な事故などの緊急時に備えて、事業継続計画の策定。
• 情報セキュリティ教育の実施・受講。
• 情報セキュリティの事故・弱点・違反の報告。

データセンターのセキュリティ管理を実施するため、セキュリティ委員会を設置する。セキュリティ委員会では、情報セキュリティ維持のための諸施策の検討および情報セキュリティの運用・管理を行うとともに、情報セキュリティ基本方針や運用手順の定期的な見直しを実施する。また、情報セキュリティ維持の諸施策の検討や実施の責任者として、セキュリティ管理責任者並びに担当者を設置し任命する。セキュリティ委員会は、情報資産に対し機密性・完全性・可用性の観点からリスクを評価するためのリスク評価基準を定め、リスクアセスメントを定期的に実施しなければならない。

リスク評価基準、リスクアセスメントの構造を確立し、これに基づくリスクアセスメントの体系的なアプローチを定義する。特に、入退館に関連する情報資産に対しては機密性および可用性を、建物や設備に関連する情報資産の維持・管理には、可用性を重視したリスクアセスメントを行い、これにより情報資産の脅威と脆弱性を識別し、セキュリティ要求事項を識別する。

（情報資産の分類）
情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとする。

（情報資産への脅威）
情報セキュリティ基本方針を講ずるうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとする。特に認識すべき脅威は以下のとおりである。

1. 人的セキュリティ対策

情報資産に接する従業員の情報セキュリティに関する権限や責任などを定めるとともに、すべての従業員に情報セキュリティ基本方針の内容を周知徹底するため、教育・訓練を行う。

2. 物理的セキュリティ対策

不正な立入りなどから保護するため、入退室や機器管理上の物理的な対策を講ずる。

3. 技術的セキュリティ対策

情報資産を不正なアクセスなどから適切に保護するため、情報資産へのアクセス制御、コンピュータウイルス対策などを実施する。

4. 運用

情報セキュリティ基本方針の実効性を確保するため、また、不正アクセスされることおよび不正アクセスによって被害を及ぼすことを防ぐため、入退館管理並びに設備稼働状況の監視などの運用面における必要な措置を講ずる。また、障害が発生した際の迅速な対応を可能とするため、障害時の対応を講ずる。

（情報セキュリティ管理策の策定）
データセンターの情報資産について、上記の情報セキュリティ対策を講ずるに当っては、従業員が遵守すべき事項および判断などの基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ管理策を策定するものとする。

情報セキュリティ実施手順（マニュアル）の策定情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する管理策を具体的に定めておく必要があることから、情報セキュリティマネジメントマニュアルを策定するものとする。

監査委員会は、データセンターの運営に関わる各部門が、データセンター情報セキュリティ基本方針や運用手順を遵守していることを定期的に監査する。また、情報セキュリティを取り巻く状況の変化に対応するために、基本方針、対策基準および実施手順の見直しを適宜行う。

従業員は、情報資産に関連する法令および規制や契約、並びに社内規定を遵守しなければならない。関連する法令などの継続的な周知および準拠は、セキュリティ管理責任者がその責任を負う。また、本規定および情報セキュリティに関連する規定に違反があった従業員に対しては、就業規則の定めにより懲戒される場合がある。