(1)情報セキュリティ管理体制の構築
経営組織直下に情報セキュリティ統括責任者(CISO)を配置するとともに委員会を設置し、経営陣が中心になって、情報セキュリティの維持、向上に取り組みます。
(2)法令および規範ガイドライン遵守
事業を行ううえで適用される法令、規制、所属する協会自主規制規則、および契約上のセキュリティ要求事項を遵守します。
(3)情報セキュリティ管理規程の制定
情報セキュリティに関する各種管理の規程を整備し、情報資産の保護ならびに適切な管理のためのルールを社内に周知徹底します。
(4)対策の実施
情報セキュリティ対策を適切に管理し、情報資産の安全管理に努めます。万が一情報セキュリティ事故が発生した場合、迅速に処理 し被害の拡大を防止するとともに、情報開示に努めます。
(5)教育・訓練の実施
全役職員に対するセキュリティ教育・訓練を定期的あるいは必要に応じ実施し、情報資産を 適切に扱うことが重要な社会的責務であることを常に認識し、業務を遂行します。
(6)監査の実施
定期的あるいは必要に応じて情報セキュリティに係る監査を実施し、情報セキュリティ対策の合理性を客観的に評価するとともに、継続的な改善のためのフィードバックを行います。
(7)業務委託先の管理
業務委託先選定のための適切な基準を制定し、基準を満たす業務委託先と契約します。また、 情報セキュリティレベルが適切に維持されていることを定期的に確認するとともに、必要に応じ業務委託先の見直しを行います。
(8)継続securitypolicy的な改善
情報セキュリティに係る全ての取組みについて、継続的な改善に取り組みます。