クラウドセキュリティ基本方針
1.目的
当社は、クラウドサービスの利用において、情報資産の機密性、完全性、可用性を適切に保護するため、JIS Q 27017:2016(ISO/IEC 27017:2015)の要求事項に準拠し、「情報セキュリティ基本方針」に基づく下位方針として「クラウドセキュリティ基本方針」を定め、クラウド環境に特有のリスクに対して適切な管理策を講じます。
2.適用範囲
本方針は、当社がクラウドサービスカスタマとして利用するすべてのクラウドサービスにおける情報セキュリティ管理に適用します。適用対象は、開発部GIS開発課に属する業務および担当者とします。
3.基本方針
当社は以下の原則に基づき、クラウドサービスの安全な利用を推進します。
3.1責任分界の明確化
クラウドサービスプロバイダとの契約において、セキュリティ管理に関する責任の分界を明確にし、カスタマとしての責任を果たします。
3.2適正なクラウドサービスの選定
利用目的に照らして適切なセキュリティ対策が講じられているクラウドサービスを選定し、評価記録を残します。
3.3契約および合意事項の管理
クラウドサービスの利用に際しては、セキュリティ、プライバシー、サービスレベル、データの帰属・移転・削除に関する契約内容を明確にし、適切に管理します。
3.4利用者管理とアクセス制御
クラウド環境における利用者の識別と認証を確実に実施し、職務に応じた最小権限の原則に従ってアクセス制御を行います。
3.5データの保護と暗号化
クラウド上で処理・保存される情報資産の重要度に応じて、暗号化やバックアップ等の手段により、機密性・完全性・可用性を確保します。
3.6ログと監視
クラウドサービスの利用状況を監視し、必要に応じてログを取得・保管・分析することにより、インシデントの早期検知と対応を可能とします。
3.7教育・訓練
クラウドサービスの安全な利用に関する教育・訓練を、対象部門の職員に対して定期的に実施します。
3.8継続的改善
クラウドセキュリティに関する管理策は、リスク評価および監査結果等を踏まえて、継続的に見直しと改善を図ります。
4.体制および責任
クラウドサービスの利用部門は、当社のISMS管理責任者の統括のもと、クラウドセキュリティ管理策の実施責任を負います。
5.法令および契約の遵守
クラウドサービスの利用に際しては、関連する法令、業界基準、およびクラウドサービスプロバイダとの契約に定められた義務を遵守します。
6.附則
本方針は、2025年4月1日より施行します。
制定日:2025年4月1日
株式会社GEOソリューションズ
代表取締役 藤井 達司