社会福祉法人農協共済別府リハビリテーションセンター(以下「法人」といいます。)は、利用者、患者、関係者および職員の個人に関する様々な情報ならびに法人が保有する情報資産を各種脅威から守り、法人としての社会的責務を果たすため、以下の情報セキュリティ対策を講じます。
1.情報セキュリティマネジメントシステムの確立
法人は、情報セキュリティに関する組織内の役割と責任を定めることで、情報セキュリティマネジメントシステムを確立し、情報セキュリティ水準の維持と向上に取り組みます。
2.情報セキュリティ対策基準
法人は、情報セキュリティポリシーとして、情報セキュリティ基本方針、情報セキュリティ基本規程、その他関連規則を定めます。この方針および規程類に基づき、法人は、情報の取扱い、情報システムの管理に関して、適切な組織的、人的、物理的および技術的情報セキュリティ対策を実施し、情報資産の紛失、破損、改ざんおよび漏えい等のリスクの発生を未然に防止します。
3.適用範囲
情報セキュリティ対策基準は、法人が保有し取り扱うすべての情報資産とこれらに携わる役職員に適用します。
4.役職員の責務
法人は、法人が保有し取り扱う情報資産に携わるすべての役職員に対して、情報資産を適切に管理するとともに、情報セキュリティの重要性、情報資産の適切な取扱いに関して定期的(少なくとも年 1 回以上)な教育を実施します。役職員は、情報セキュリティ対策に関する知識や情報の拡充に努めるとともに、法人の情報セキュリティ対策基準を遵守します。
5.違反およびリスクへの対応
法人は、情報セキュリティ対策基準への違反行為およびリスクの顕在化による事故等の発生に対して、適切に対処し被害の拡大を最小限に留めるように努めます。また、すみやかな復旧に努めるとともに、再発防止策を含む適切な対策を講じます。
6.リスク評価および見直しの実施
法人は、社会情勢の変化、技術的変化、法令等の改正および新たな脅威へ対応できるようにするため、情報資産の管理状況等へのリスク評価を実施したうえで、必要に応じて情報セキュリティ対策基準の見直しを行い、情報セキュリティ水準の維持と向上を図ります。
7.情報セキュリティ監査
法人は、情報セキュリティ対策基準の遵守状況を確認するため、定期的(少なくとも年 1 回以上)または必要に応じて内部監査を実施して、情報セキュリティ対策が確実に実行されていることの点検を行います。
8.方針の改廃
本方針の改廃は、経営会議の審議を経て、理事会で決定します。ただし、軽微な変更については理事長が行います。
付則(令和3年11月29日制定)
この基本方針は、令和 3 年 12 月 1 日から施行する。
