現在の位置 : ホーム > 国保連合会とは > 情報セキュリティ基本方針

情報セキュリティ基本方針

1 目的

 群馬県国民健康保険団体連合会(以下「国保連合会」という。)では、診療報酬、介護給付費等の審査支払等、保健事業及び各種共同事業を実施しており、これらの業務では、個人情報を中心とする極めて重要な情報資産を数多く取り扱っている。
 本方針は、国保連合会が保有する情報資産を様々な脅威から保護し、保険者並びに関係機関等から信頼される事業運営を行い、社会的責務を果たすため、必要な情報セキュリティ対策について、組織的かつ継続的に取り組むための基本的な考え方を定めるものであり、国保連合会における情報セキュリティマネジメントを維持し、改善させて行くことを目的とする。

2 適用規格

 国保連合会のISMSに適用する規格は、JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)およびISO/IEC 27001:2013(以下、「規格」)とする。

3 対象とする脅威

 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

 ア 不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的要因による情報資産の漏えい、
  破壊、改ざん及び消去等
 イ プログラム上の欠陥、操作ミス、故障、紛失等の非意図的要因による情報資産の漏えい、
  破壊及び消去等
 ウ 地震、落雷、火災、停電等の環境的要因によるサービス及び業務の停止等

4 適用範囲

(1) 対象者
   対象者は、国保連合会に勤務する全ての職員等とする。

(2) 適用事業
   国保連合会が行う全事業

(3) 情報資産
   適用事業に関する全ての情報資産を対象とする。

5 職員等の遵守義務

 セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって本方針及び規程等を遵守し、関連する法律等に従うとともに、自ら情報セキュリティに関する意識の向上に努めるものとする。

6 情報セキュリティ対策

 国保連合会が保有する情報資産を脅威から保護するために、以下の情報セキュリティ対策を講じる。

(1) 組織体制
   連合会が保有する情報資産について、情報セキュリティ対策を組織的に推進するため、管理
  体制及び運営体制を確立する。

(2) 情報資産の分類と管理
   国保連合会の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基
  づき情報セキュリティ対策を行う。

(3) 物理的セキュリティ対策
   環境的要因による脅威や部外者の侵入等の外部からの脅威から情報資産を保護するために、
  物理的な対策を講じる。

(4) 人的キュリティ対策
   情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、職員等に周知する
  ため、定期的な情報セキュリティ教育及び研修の実施、外部委託時の守秘義務契約締結等の
  人的な対策を講じる。
   職員等は、国保連合会が実施する情報セキュリティ教育及び研修を受けなければならない。

(5) 技術的セキュリティ対策
   情報資産を不正アクセス、ウイルス攻撃等から保護するため、アクセス制御、不正アクセス
  対策、コンピュータウイルス対策ソフトウェアの導入及び定期的更新等の技術的対策を講じる。

(6) 運用
    本方針及びISMSのパフォーマンスの確認、情報システムの監視、外部委託を行う際の
  セキュリティ確保等、運用面の対策を講じるものとする。

7 情報セキュリティ監査及び自己点検の実施

 ISMSの遵守状況を評価、確認するため、定期的又は必要に応じてISMS内部監査及び自己点検を実施する。

8 情報セキュリティ事故等への対応

 国保連合会が保有する情報資産に対する事故等については、以下の対策を講じる。

(1) 事前準備
   情報資産の流出、侵害の発生に備えるために緊急時の対応計画を定める。

(2) 事故発生時の対応
   情報資産に対する事故等が発生した場合は、緊急時の対応計画に基づき、速やかに報告を行う
  とともに必要に応じ証拠保全、被害拡大の防止、復旧等適切な対応を行う。

(3) 原因調査と再発防止
   情報資産に対する事故等が発生した場合は、事故の原因を分析し、必要に応じ再発防止策を
  講じる。

9 情報セキュリティ基本方針の見直し

 ISMS内部監査及び自己点検の結果、または情報セキュリティに関する状況の変化に対応するために本方針を見直す。

10 情報セキュリティ対策基準の策定

 本方針に基づき、判断基準等を定める情報セキュリティ対策基準を定める。

11 情報セキュリティ実施手順の策定

 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順等を定めた規程類を策定する。

12 罰則

 本方針及びISMS遵守事項に違反した場合、当該職員に対し国保連合会の関連規程等に応じた懲戒処分等必要な措置を講じるものとする。

平成26年11月26日 制定