情報セキュリティ基本方針
国立研究開発法人新エネルギー・産業技術総合開発機構(以下「機構」という。)は、「エネルギー・地球環境問題の解決」及び「産業技術力の強化」という二つのミッションに取り組む公的研究開発マネジメント機関である。
機構は、事業運営上の情報セキュリティを適正に管理する責任を全うするため、以下の方針のもとに情報セキュリティを確保し、内外関係者等からの信頼を確実なものとしていく。
1.目的
機構は、以下の目的を実現するため情報セキュリティ基本方針を定める。
(1) 「エネルギー・地球環境問題の解決」及び「産業技術力の強化」という二つのミッションの公共的重要性に鑑み、その業務に係る情報の管理を適正に行う。
(2)機構の適正な情報管理を進めるうえで、「機密性」、「完全性」、「可用性」のバランスを取りつつ、情報を有効に活用することを目指す。
2.情報セキュリティ要求事項の遵守
機構は、以下の情報セキュリティに関連する要求事項を遵守する。
(1)「政府機関の情報セキュリティ対策のための統一基準群」をはじめとする法的要求事項、規制要求事項及び各種ガイドライン等の要求事項
(2) 国民や関係機関との契約等に含まれる要求事項。
(3) その他、機構が受け入れることを決定した要求事項。
3.情報セキュリティ対策
機構は、情報セキュリティに係るリスクを管理し、上記目的を達成するため、以下の対策を講じる。
(1) 組織体制
最高情報セキュリティ責任者を中心とした情報セキュリティ運営体制を整備し、情報セキュリティ活動を推進する。
(2) 適切な情報資産の管理
機構が取り扱う情報資産を、脅威の発生頻度や事業への影響度等に応じ適切に分類し、当該分類に基づき情報セキュリティ対策を行う。
(3) 人的セキュリティ対策
機構の全ての職員等に対し、情報セキュリティ教育を計画的に実施し、本方針及び情報セキュリティ対策の周知徹底を図り、職員等の情報セキュリティ意識の向上に努める。
(4) 物理的セキュリティ対策
環境的要因による脅威や職員等以外の者の侵入、内部不正等の脅威から情報資産を保護するために、物理的な情報セキュリティ対策を講じる。
(5) 技術的セキュリティ対策
内部・外部の様々な脅威から情報資産を保護し、不正な侵入、情報漏えい、改ざん及び内部不正等が発生しないよう、十分な情報セキュリティ対策を反映した情報システムを構築し運用を行う。
(6) 外部供給者の管理
機構は、外部から業務の供給を受けるにあたり、外部供給者の情報セキュリティ評価や守秘義務契約の締結等により、外部供給者を適切に管理する。
4.インシデント対応
機構は、情報セキュリティに係る障害及び事故等(インシデント)が発生した場合、又はその可能性がある場合、速やかな対応及び手続きを行う。また、原因を究明し、再発防止に努める。
5.継続的改善
機構は、情報セキュリティに係るリスクへの対応を継続的に改善し、機構の保有する情報資産の安全性及び信頼性の向上に努め、国民及び関係機関の期待に応える。
最高情報セキュリティ責任者