株式会社Ultimate Life(以下、「当社」といいます。)は、以下のとおりセキュリティインシデント報告・対応規程を定め、セキュリティインシデント報告・対応の仕組みを構築し、全従業員にセキュリティインシデント報告・対応の重要性の認識と取組みを徹底させることにより、セキュリティインシデント報告・対応を推進致します。
本規程は、セキュリティインシデントが発生した場合及びセキュリティインシデントの発生と疑われる場合、適切な連絡経路を通じて極力速やかに報告し、定められた手順に従って迅速に対応し、情報システム環境の復旧が速やかになされることと、発生した事態から問題点や改善点などに対する学習を行い、継続的な再発防止が行われることを目的とする。当社におけるセキュリティインシデントとは次のような事態を指す。
当社のすべての従業員。
当社の従業員が業務遂行のため利用するすべてのシステム。
経営者の同意・承認の元、未然に防げなかった事態が発生した際に、事態の可及的速やかな収拾と被害や影響範囲を最小にするために、平時からの取組と組織・役割の責任の明確化・伝達方法・事態の評価と対応及び再発防止を含む学習についての取り組みを明確にする。
セキュリティインシデントが発生した場合、あるいは発生が疑われる場合は当社システム開発事業部(以後システム開発事業部)に遅滞なく報告がなされ、速やかにセキュリティインシデントの分析、封じ込め、原因の根絶、復旧が可能となるよう、4.2項以降に示す対応について以下の準備作業を行い、関係者に周知・徹底する。
セキュリティインシデント、あるいは発生が疑われる事象を検知したものは、システム開発事業部に遅滞なく報告しなければならない。システム開発事業部は、報告されたセキュリティインシデントに応じ、策定した対応手順に従い、被害の特定、原因の分析を行う。なお、策定した対応手順に該当しないセキュリティインシデントの場合、システム開発事業部は、そのための実行責任者を任命し、対応組織を始動し、被害の特定、原因の分析を行う。検知したセキュリティインシデント情報、原因の分析状況について、実行責任者のもと、一元的に収集、管理する。
特定したセキュリティインシデントの原因に基づく対応手順に則り、被害の拡散を防止し、被害箇所の原因の根絶、修復を行い、復旧をする。なお、セキュリティインシデントに関する情報は、実行責任者のもと、一元的に収集、管理する。以下の情報を管理、記録する。
セキュリティインシデントの対応後、同様のセキュリティインシデントの再発防止、および対応手順の不備等について改善を行う。
インシデント発生時における対応方法について、あらかじめ報告及び復旧等に向けた手 順を作成しているか確認する。また、インシデント対応実施後に再発防止策、対応手順の改善が行われているか、確認する。
業務都合等により本規程の遵守事項を守れない状況が発生した場合は、システム開発事業部に報告し、例外の適用承認を受けなければならない。
本規程の遵守事項に違反した者は、その違反内容によっては罰則を課せられる場合がある。罰則の適用については当社規定に従う。
本規程は対象者にのみ公開するものとする。
本規程は対象者にのみ公開するものとする。