サイバーセキュリティ基本方針

2017年10月1日制定
水戸証券株式会社

 水戸証券株式会社(以下、「当社」)は、『水戸証券は、顧客・株主・社員にベストをつくす企業でありたい』の経営理念に基づき、お客さまに高品質の金融サービスを提供してまいります。
お客さまに安心して当社のサービスをご利用いただくために、サイバーセキュリティ基本方針を定め、実践いたします。

1.目的

 当社は、最重要情報である「お客さま情報」、「機密情報」ならびにソフトウェア・ハードウェア、ネットワークなどの全ての情報資産をあらゆる脅威から保護し、適切な安全管理を実現するため、サイバーセキュリティへの取り組みは極めて重要な責務と認識しています。
こうした責務を果たすため、当社におけるサイバーセキュリティの体制構築、攻撃を防ぐための対策、攻撃を受けた場合に備えた準備等を定め、サイバー攻撃等のあらゆる脅威から情報資産を守り、セキュリティの確保・向上に積極的に取り組み、当社の掲げる経営理念を実践することを目的とします。

2.サイバーセキュリティ管理体制

 当社は、情報資産を適切に保護するため、最高責任者(代表取締役社長)のもと最高情報セキュリティ責任者(CISO : Chief Information Security Officer)を責任者として組織内CSIRT(CSIRT : Computer Security Incident Response Team)を含めた組織的管理態勢を構築し、役割と責任を明確にします。また、外部委託先に対しても取り組みを求め、サイバーセキュリティの管理に努めます。

3.サイバーセキュリティ対策

 当社は、システムのセキュリティ対策として、ファイアウォール、振る舞い検知可能な機器を導入し、サイバー攻撃に対する検知・対応能力の向上に努めるとともに、新たな脅威に対応するため、セキュリティ対策の見直しを適宜実施します。
また、組織内CSIRTを通じて、官公庁や各種外部機関と情報共有を行い、インシデントの未然防止に努めます。

4.サイバーセキュリティインシデント対応

 当社は、サイバーセキュリティリスクの顕在化(以下、「サイバーセキュリティインシデント」)に備え、以下の対応体制を整備します。

  • (1) 連絡体制や初動対応マニュアルを整備し、訓練・演習を定期的に実施します。
  • (2) サイバーセキュリティインシデントが発生した場合、CISOの指揮のもと組織内CSIRTを中心に、迅速に対応し被害の拡大を防止します。
  • (3) サイバーセキュリティインシデントに関し、官公庁ならびに関係者との情報共有を状況に応じ適宜実施します。

5.セキュリティ教育・訓練の実施

 当社は、すべての従業者が情報資産を適切に扱うことの重要性およびサイバーセキュリティを含む情報セキュリティ全般に対する役割と責任について理解・遵守し、情報セキュリティが確保されるよう教育・訓練を実施します。また、情報セキュリティに関する意識向上を図るために、啓発活動を実施します。

6.リスク評価ならびに継続的改善

 当社は、情報資産の利用目的・重要度に応じた適切な管理体制を実現するため、情報資産に対する脅威を特定し、継続的にリスク分析・評価・改善に取り組みます。

以上