情報セキュリティ規定　利用者編　11．適合性に関する基本原則

「情報セキュリティ規定　利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。

「11．適合性に関する基本原則」では、以下について説明します。

11．適合性に関する基本原則

ソフトウェアの使用等を的確に管理し、ソフトウェアの違法複製等の行為を効果的に防止するため従業員、部署長、情報セキュリティ管理責任者は、以下について実施する。

従業員は、ソフトウェアの著作権保護のため、次の事項を遵守する。

関係法令、ソフトウェア管理規則及び使用許諾契約に規定された使用条件並びに情報セキュリティ管理責任者の指示を遵守する。
当社が保有するソフトウェアと個人が保有するソフトウェアとの区分が不明確になることを防ぐため、個人が保有するソフトウェアを当社において使用する場合、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。
会社指定の標準ソフトウェアのライセンス管理については、情報システム室の定める手順に従う。
ソフトウェアの違法コピーを行わない。
インターネット等からファイルのダウンロードを行う際は、ファイルの著作権者が定める著作権に関する指示に従い、当該ソフトウェアを取り扱う。

部署長は、ソフトウェアの著作権保護のため、「11.1.1　従業員が実施すること」を周知、認識させる。また、次の事項を遵守する。

情報セキュリティ管理責任者は、ソフトウェアのライセンスが適切に管理されていることを確認するため、次の事項を実施する。

会社貸与情報機器・備品・ソフトウェアの棚卸及び点検に関する実施計画の策定を、管理部に対して指示する。
当社におけるソフトウェアの使用状況を常時把握するため、ソフトウェアの使用状況を記録したソフトウェア管理リストを整備する。
ソフトウェア監査等によりソフトウェアの違法複製等を発見した場合、調査した上で、違法複製されたソフトウェアを消去する等、適切な処置を速やかに講じる。
ソフトウェアの適正な使用等に対する意識の向上を図るため、従業員を対象として、関係法令、ソフトウェア管理規則、使用許諾契約に規定された使用条件等の周知徹底を図る。

部門セキュリティ責任者は、情報セキュリティに関する組織の記録の保護について、次の事項を遵守する。

従業員は、個人情報の保護について「個人情報保護規程」を遵守する。

（１）当社は、利用者が専ら個人的な関心や私的な利益のために会社が保有するネットワーク設備を利用することを認めない。

（２）当社は、従業員が当社の情報資産を適切に利用していることをモニタリング及びログ分析等により確認することができる。

確認事項を次に示す。

（３）ファシリティへの不正なアクセスの禁止

従業員は、当社のファシリティの利用について、「7.1　物理的セキュリティ対策」を遵守する。

（４）情報システムへの不正なアクセスの禁止

従業員は、使用を許されていない情報システムや業務上必要のない情報システムへのログオン等のアクセスを試みてはならない。

（５）従業員は、保守業者等の第三者が持ち込んだ情報機器について、次の事項を遵守する。

保守業者等の第三者が持ち込んだ情報機器を社内ネットワークに接続させない。

やむを得ず、保守業者等の第三者が持ち込んだ情報機器を社内ネットワークに接続する場合は、次の事項を遵守する。

事前に部署長及び情報セキュリティ管理責任者の承認を得る。
「8.6.1　情報交換の方針及び手順」により、当該ファシリティ管理責任者が当該ファシリティにおける情報機器の持込み及び使用について手続きを定めている場合は、これに従う。
社内ネットワークへの接続開始から接続終了までの間、社員が立会い、不正な操作が行われないよう監視する。
社内ネットワークへの接続に関する記録を取り、一定期間保存する。