情報セキュリティポリシー

最終更新日 2023年11月21日

はじめに

  • 目的 NMSDCの情報セキュリティポリシーの目的は、情報および情報システムの機密性、完全性、可用性を確保するためのガイドライン、手順、および責任を確立することです。
  • 範囲と責任。 このポリシーは、NMSDCが所有または運営するすべての情報およびシステムに適用されます。これには以下が含まれますが、これらに限定されるものではありません:
    • 電子データとシステム
    • ハードコピーの記録
    • 物理的施設
    • 人事
  • NMSDCの全従業員、関連会社の従業員、請負業者、ビジネスパートナーは、本ポリシーを遵守する責任があります。NMSDCの経営陣は、本ポリシーに記載されたセキュリティ管理を実施し、維持する責任を負います。

セキュリティ・コントロール

  • NMSDCは、その情報とシステムを保護するために、さまざまなセキュリティ管理を実施しています。これらの管理には以下が含まれる:
    • アクセスコントロール。 情報およびシステムへのアクセスは、許可されたユーザーのみに制限される。
    • データの暗号化。 機密データは、保存時および転送時に暗号化されます。
    • ネットワーク・セキュリティ NMSDCは、ファイアウォールやその他のネットワークセキュリティ機器を使用して、システムを不正アクセスから保護しています。
    • 物理的なセキュリティ。 NMSDCの物理的施設は、監視カメラ、入退室管理システム、その他の物理的セキュリティ手段によって保護されています。
    • 情報セキュリティの啓発。 NMSDCの従業員および関連会社の従業員は、情報セキュリティ意識向上トレーニングの申し出があれば、定期的に受講することが義務付けられています。

アクセス・コントロール

  • アクセス制御の原則。 NMSDCのアクセスコントロールポリシーは、以下の原則に基づいています:
    • 最小の特権。 利用者は、職務を遂行するために必要な最小限のアクセス権しか与えられない。
    • 知る必要がある。 利用者は、知る必要がある場合にのみ、情報やシステムへのアクセスを許可される。
    • 職務の分離。 重要な情報やシステムへのアクセスは、複数のユーザー間で分離されている。
    • 利用者は、NMSDCの情報およびシステムの利用について説明責任を負う。
  • アクセス・コントロールの手順。 NMSDCは、上記の原則を実施するために、さまざまなアクセス制御手順を使用しています。これらの手順には以下が含まれる:
    • ユーザーアカウント。 すべてのユーザーには、固有のユーザーアカウントとパスワードが割り当てられます。
    • アクセス・ロール。 ユーザーには、アクセスが許可される情報とシステムを定義するアクセス・ロールが割り当てられる。
    • アクセスレビュー 情報およびシステムへのアクセスは定期的に見直され、ユーザーが必要な情報およびシステムへのアクセス権限を保持していることを確認する。
  • ユーザー認証。 NMSDC のシステムおよびデータへのアクセスは、以下を含むがこれに限定されない強力な認証 方法によって制御されるものとする:
    • ユーザー名とパスワード
    • 二要素認証(2FA)
  • 認可。 情報およびシステムへのアクセスは、最小特権の原則に基づくものとする。ユーザーおよびシステムには、職務の遂行に必要な権限のみが付与されるものとする。
  • ユーザーアカウント管理。 ユーザーアカウントは、NMSDCのユーザーアカウント管理手順に従って作成、変更、終了されるものとする。非アクティブなアカウントは定期的に確認され、必要に応じて無効化または削除されるものとする。
  • パスワードポリシー
    • パスワードが必要です。
      • ユーザーは、以下の基準を満たす強力なパスワードを選択しなければならない:
      • 最低8文字以上。
      • 大文字、小文字、数字、特殊文字の組み合わせ。
      • パスワードは、名前や誕生日など、容易に推測できる情報に基づくものであってはならない。
      • パスワードは、指定された世代数内で再利用されるべきではない。
    • パスワードの変更 利用者は、パスワードを定期的に変更することが求められる。パスワードの変更頻度は、組織のリスクアセスメントと規制要件に従って定めるべきである。
    • パスワードの共有。 利用者は、IT担当者や監督者を含め、パスワードを誰とも共有することは禁じられている。パスワードは個人使用のみとする。
    • パスワード復旧。 パスワード回復のための安全かつ認可されたプロセスを導入するものとする。このプロセスは、パスワードのリセットまたは回復の前に、利用者の身元を確認する。

情報の分類と取り扱い 

  • 目的 NMSDCは、組織内で保有する情報およびデータの機密性を保護することが最も重要であると認識しています。NMSDCは、データの分類に基づき、適切なセキュリティ管理を実施します。これには、暗号化、アクセス制御、定期的な評価などが含まれます。
  • 情報の分類 すべての情報資産は、その機密性と重要性に基づいて、以下のカテゴリーに分類されるものとする:
    • 情報公開。 無制限の開示を意図した情報。
      例マーケティング資料、公開ウェブサイト、非機密データ。
    • 内部情報。 組織内での使用を目的とする。
      例会社方針、社内報告書、従業員向けデータ。
    • 機密情報。 取り扱いを誤れば、組織や個人に損害を与えかねない機密データ。
      例従業員や顧客の個人情報、財務記録、知的財産。
  • 機密情報の保護義務。 NMSDCおよびアフィリエイトのすべての従業員、請負業者、第三者サービスプロバイダー、およびNMSDCの情報システムにアクセスするすべての事業体は、機密として分類される情報を保護し、機密性を維持する必要があります。
  • アクセス制御と最小特権。 機密情報へのアクセスは、正当な業務目的のためにアクセスを必要とする人員のみに限定する。アクセス許可は、最小特権の原則に従って管理されるものとする。
  • 秘密保持契約。 NMSDCの機密情報にアクセスできる第三者の請負業者、ベンダー、またはサービスプロバイダーは、秘密保持契約(NDA)を締結する必要があります。
  • トレーニングと意識向上。 NMSDCは、アフィリエイトの従業員および職員に対し、機密情報を保護することの重要性と、機密情報を保護するためのセキュリティ対策について教育および啓蒙プログラムを提供します。

    この機密保持に関する声明およびNMSDCの情報セキュリティポリシーを守らなかった場合、契約の解除を含む懲戒処分を受ける可能性があり、法的な結果につながる可能性もあります。

    これらの機密保持の原則を遵守することにより、NMSDCは、その利害関係者、パートナー、および情報を取り扱う個人の信頼と信用を維持するというコミットメントを実証しています。

データベース利用規約

  • 目的 以下の利用規約(「規約」)は、NMSDCが提供するNMSDCハブ(「データベース」)への「アフィリエイト」のアクセスと利用に適用されます。アフィリエイト」が「データベース」を利用することは、この規約に同意したものとみなされます。アフィリエイト」が本規約に同意できない場合は、「データベース」の利用を停止しなければなりません。

ライセンスと使用

  • ライセンス付与。 本規約を遵守することを条件として、NMSDCは「アフィリエイト」に対し、以下の目的で「データベース」にアクセスし利用するための制限付き、非独占的、譲渡不可、取消可能なライセンスを付与します:
    • MBEの検索とリード管理
    • 現地メンバーの登録。
    • 地元および全国の会員とのコミュニケーション。
    • 契約機会のリード。
    • MBEの事前資格審査と認証の紹介。
    • 業務指示書(SOW)に詳述されているKPIおよびその他のレポーティング。

制限事項

データベースへのアクセスおよびその利用は、セクション1に記載された行為に限定されます。以下の行為は固く禁じられています:

  • データベースまたはそのコンテンツの無断複写、複製、配布
  • リバースエンジニアリング、逆コンパイル、またはデータベースのソースコードを特定する類似の試みに関与すること。
  • 違法、非倫理的、または悪意のある目的でデータベースを使用すること。

データベース認証情報

  • 個々のユーザ資格情報。 ユーザー認証情報は個々のユーザーに割り当てられ、共有されるべきではありません。ユーザー認証情報を共有することは固く禁じられています。

    利用者は、いかなる個人または団体にもなりすましたり、いかなる個人または団体との提携を偽って表明したり、不正、誤解を招く、または不正確な電子メールアドレスまたはその他の連絡先情報を使用してはならないものとします。
  • 責任がある。 ユーザ・クレデンシャルの所有者は、割り当てられたユーザ・クレデンシャルを使用して行われる すべての活動に対して責任を負う。
  • ユーザ・クレデンシャルの割り当て。 ユーザ・クレデンシャル管理者は、NMSDC との関係または NMSDC とその会社の関係に基づいて、アクセスを受けることを許可された個人にのみユーザ・クレデンシャルを割り当てることができる。
  • ユーザー認証情報の保護。 システムへの不正アクセスを防止するため、ユーザー認証情報は秘密に保たれなければならない。

データ管理とプライバシー

  • データのコピー/ダウンロード 利用者は、MBEの詳細および認証データをコピーまたはダウンロードし、所属組織以外の利用者が利用できるようにすることを固く禁じられています。これには、企業またはその他の第三者プラットフォームで共有されるサプライヤープロファイルデータに認証の詳細を追加することの禁止も含まれます。
  • マーケティング 利用者は、製品やサービスのマーケティングに情報を使用してはなりません。
  • データの取り扱い。 利用者は、機密情報が不適切に開示されたり、紛失したり、漏洩したりしないよう、慎重にデータを取り扱うことが求められます。
  • データの機密性。 利用者は、データベース内でアクセスしたすべての情報を機密情報として扱い、NMSDCが受領を許可していない者に開示してはならないものとします。

データベース監視

アフィリエイト」は、NMSDCがデータベースの利用を随時電子的に監視する権利を有し、法令を満たすため、データベースを運営するため、またはNMSDCもしくはその顧客を保護するために必要または適切な情報を開示することを認め、同意するものとします。

MBEの詳細および認証データの不正使用に対する罰則

  • アクセス制限/取り消し。 悪用された場合、NMSDCはユーザーのデータベースへのアクセスを制限または取り消す権利を留保します。
  • 関係の終了。 データベースの不正使用は、本契約の解除につながる罰則の対象となる場合があります。

データの正確性に関する免責事項

NMSDCは、データベース内のデータを正確かつ最新の状態で提供するよう努めています。しかし、NMSDCは、本システムで提供される情報の正確性、完全性、信頼性を保証するものではありません。

責任の制限

NMSDCは、アフィリエイトがデータベースを使用したことにより生じた直接的、間接的、偶発的、特別、または結果的な損害について責任を負いません。

  • 第三者のリンク データベースには、第三者のウェブサイトやリソースへのリンクが含まれている場合があります。NMSDCは、これらの外部サイトの利用可能性またはコンテンツについて責任を負わず、かかる外部リソースの使用から生じるいかなる損失または損害についても責任を負いません。

リモート・アクセス・ポリシー

  • 目的 リモートアクセスポリシーは、NMSDCの情報システムおよびデータへのリモートアクセスの使用を規定する。NMSDCのシステムおよびデータへのリモートアクセスは、安全で暗号化された接続を使用し、強固な認証方法を用いて、権限を与えられた担当者のみに許可されるものとする。
  • リモートアクセスの要件。 すべての情報資産は、その機密性と重要性に基づいて、以下のカテゴリーに分類されるものとする:
    • NMSDCのシステムおよびデータへのリモートアクセスは、職務上の役割と責任に基づいて承認され、許可される。
    • リモートユーザーは、仮想プライベートネットワーク(VPN)またはその他の承認された方法など、安全で暗号化された接続を使用する必要があります。
    • リモートアクセスには、二要素認証(2FA)などの強力な認証方法を使用する必要があります。
  • モニタリング リモートアクセスセッションは、セキュリティおよびコンプライアンスについて監視されるものとする。不正アクセスの試みは報告され、調査されるものとする。
  • 終了。 リモートアクセス権限は、従業員の契約終了時、または職務上アクセスが不要になった時点で終了します。

クラウド・ホスティング・アプリケーション

  • すべてのクラウドホスティングアプリケーションは、使用前にNMSDC ITの承認を得なければならない。
  • クラウドホスティングされたアプリケーションへのアクセスは、NMSDCのIDおよびアクセス管理(IAM)システムを通じて管理されなければならない。
  • クラウドホスティングされたアプリケーションは、静止時および転送時のすべてのデータに対して強力な暗号化を使用するように設定されなければならない。
  • クラウドでホストされるアプリケーションは、セキュリティの脆弱性がないか定期的に監視する必要がある。

例外申請ポリシー

  • 目的 例外要求ポリシーは、確立された情報セキュリティポリシーに対する例外を要求するためのプロセスを定義する。
  • 例外申請手続き。 従業員または権限を与えられた職員は、正式な例外申請書を提出することで、セキュ リティポリシーの例外を申請することができる。この要請には、適用除外となるポリシーの詳細、正当な理由、および代替セキュ リティ対策案を含めなければならない。
  • レビューと承認 例外要求は、情報セキュリティオフィサー(ISO)及び関連する利害関係者によって審査される。例外は、ISO及び上級管理職が決定するところに従い、許可、拒否、又は条件付で認められる。
  • すべての例外申請、決定、および関連文書は、監査およびコンプライアンス目的のために保管される。

非アクティブ・タイムアウト・ポリシー

  • 目的 非アクティブ時タイムアウトポリシーは、一定期間非アクティブになったユーザーをセッションから自動的にログアウトさせるための要件をまとめたものです。
  • タイムアウトの設定。 NMSDCシステム上のユーザーセッションは、定義された非アクティブ時間が経過すると自動的にログアウトするように設定されるものとする。タイムアウト時間は、アクセスされるデータやシステムの機密性に応じて適切なものとする。

メールセキュリティポリシー

  • 目的 電子メールセキュリティポリシーは、NMSDC内で電子メールを安全に使用するためのガイドラインとベストプラクティスの概要を示しています。
  • 電子メールの暗号化。 機密情報を含む電子メールは、送信時に暗号化する必要があります。利用者は、必要に応じてNMSDCが提供する電子メール暗号化ツールを使用する責任を負います。
  • フィッシングへの認識。 従業員は、フィッシングの試みを認識し報告するための研修と意識向上プログラムを受けること。疑わしいメールは、調査のためIT部門に報告すること。
  • 添付ファイル 電子メールの添付ファイルを開く際には注意が必要です。信頼できない添付ファイルは開くべきではありませんし、不明な送信元からの添付ファイルは慎重に扱うべきです。
  • 電子メールの保持。 NMSDCは、法的および規制上の要件を遵守するため、電子メール保存ポリシーを策定する。電子メールはアーカイブされ、指定された期間保存されなければならない。

コンプライアンス

  • NMSDCは、これらの方針が適用される法律、規制、および業界標準に合致するよう、定期的に見直し、更新するものとする。

施行

  • 本情報セキュリティポリシーに従わない場合、解雇を含む懲戒処分を受けることがあります。

ポリシーの変更

NMSDCは、理由の如何を問わず、いつでも本ポリシーを更新または変更する権利を留保します。いかなる変更も直ちに有効となり、NMSDCはアフィリエイトに通知し、アフィリエイトはポリシーの変更を確認し、これに従う責任があります。

連絡先

本規約に関するご質問やご不明な点は、NMSDCまでお問い合わせください。 itsupport@nmsdc.org.