(FAX:03-3845-7292)
(株)プライマリーxx 行
(FAX:00-0000-0000)
『サイバーリスク補償プラン』申込ツール①
サイバー保険 質問書兼告知書
<ご注意>
この質問書兼告知書は、業務過誤賠償責任保険普通保険約款第9条(告知義務)に規定する「保険契約申込書等の記載事項」に該当しますので、すべての項目について正確にご記入くださいますようお願いします。ご申告内容に事実と異なる記載がある場合には、保険金をお支払いできないことがありますのでご注意ください。
ご契約の際には、保険契約の締結に先立ち、この告知事項等申告書の記名・捺印欄に必ず代表者の署名または記名・捺印をお願い致します。
なお、本質問書兼告知書の内容について、引受保険会社が事故発生時に利用することおよびコンサルティング会社へ内容を開示することがありますので、あらかじめご了承ください。
【ご署名欄】
この質問書兼告知書に記載する内容について相違ありません。
ご記入者(被保険者の代表者)の署名または記名・捺印
(印)
<ご記入日>
年 月 日
代表告知の場合 | □ | 代表者が全ての被保険者を代表して、全ての被保険者につき、以下の告知事項に関して確認します。 |
◆貴社について
貴社に関する次の項目について、記載をお願いいたします。
貴社名 | ||
売上高 | 小売業 | 千円 |
小売業以外 | 千円 | |
ご提出期限:2021年4月9日(金)
設問内容に対して、当てはまる場合は『はい』に〇を、当てはまらない場合は『いいえ』に〇をしてください。(当てはまる個数を
記載する設問もあります)。なお、貴社の業務に関係のない項目につきましては、『いいえ』に〇をしてください。
1.組織的安全管理
No. | 確認内容 | ご回答 | |
はい | いいえ | ||
1 | 派遣を含む全従業員に対して、採用、退職の際に本人または派遣会社等と守秘義務に関する書面を取り交わすことで、情報セキュリティに関する就業上の義務を明確にしている。 | ||
2 | すべての従業員に最新の業務手順や情報セキュリティなどを認識させるための計画的な教育や指導を定期的に実施している。 | ||
3 | サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定している。 | ||
4 | サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制を構築し、各関係者の責任が明確になっている。 | ||
5 | 事故発生時に、迅速に影響範囲や損害を特定するために、初動対応マニュアルの策定や組織内の CSIRT構築など体制整備を行なっている。 | ||
6 | サイバーセキュリティリスクへの対策を実施するための予算の確保、またはサイバーセキュリティ人材の育成や専門事業者の活用を行なっている。 | ||
7 | サイバーセキュリティリスクに関する情報の積極的な取得および外部への情報提供を行なっており、取得した情報を自社のサイバーセキュリティ対策に活かしている。 | ||
8 | 事故発生時に、外部に対して迅速な対応を行うために、被害の通知先や開示が必要な情報を予め把握している。また、情報開示の際、経営者が組織の内外へ説明ができる体制を整備している。 | ||
2.契約・監督
No. | 確認内容 | ご回答 | |
はい | いいえ | ||
1 | 委託先から提供されるサービスまたは委託元へ提供するサービスが、契約に基づいた内容となっているか監査やレビューなどによって適切な管理が行なわれている。 | ||
2 | 業務や情報システムの開発・運用管理を提供する時の契約書・仕様書には、ITサービスの品質や情報セキュリティ上の観点からSLAや機密保持などを記載している。 | ||
3 | パフォーマンスやサポート時間・方法などSLAや開発仕様書などサービスの内容が適切に実現されているか、報告会または報告による見直しが定期的に行なわれている。 | ||
4 | 改訂版や更新版を含めて第三者にパッケージソフトや情報システムなどのサービス提供を実施する場合には、仕様書が確実に実現されているかテストを行い、脆弱性や瑕疵を発見した場合には必ず修正している。 | ||
5 | 系列企業やサプライチェーンのビジネスパートナーにおいてサイバーセキュリティ対策が適切に行われていることを把握し、契約書等で合意を得ている。 | ||
3.通信・システム
No. | 確認内容 | ご回答 | |
はい | いいえ | ||
1 | 情報システムやネットワーク機器に対して、ウィルス対策ソフトの導入、バージョンアップまたはパッチの適用など適切な対策を実施している。 | ||
2 | 不正アクセス、改ざんを検知するために、運用環境や運用データに対して定期的にログを点検するなどの対策を実施している。 | ||
3 | インターネットを介してやり取りする重要なデータには、VPNの利用や専用線を構築するなど適切な保護対策を実施している。 | ||
4 | サーバーやネットワークの障害などが発生した場合に、SLAや契約書を遵守するために必要な保護対策を実施している。 | ||
4.開発・保守、アクセス制御管理措置
No. | 確認内容 | ご回答 | |
はい | いいえ | ||
1 | 業務システムの開発・運用において、重要なデータの保護機能や入力データの妥当性などセキュリティ要件を定め、その要件を適切に実施している。 | ||
2 | 退職した従業員のアカウントが存在することがないなど、アカウント(ID、パスワードなど)とそのアクセス制限が定期的に見直されている。 | ||
3 | 重要なデータや情報システムへのアクセスには、ログイン認証やアクセス制御など適切な対策が実施されている。 | ||
4 | 情報セキュリティ上の側面から、ソフトウェアの選定や購入、情報システムの開発や保守におけるプロセスごとに点検を実施するなど、適切な運用の確認を実施している。 | ||
5.技術的安全管理措置
No. | 確認内容 | ご回答 | |
はい | いいえ | ||
1 | サイバーインシデント発生時の復旧および事業継続の計画(BCP)プランを策定しており、定期的な訓練を実施している。 | ||
2 | 社内からのすべてのインターネット接続およびDMZと内部ネットワーク境界との間に、ファイアウォールなどを設置し、適切な設定をしている。 | ||
3 | リモートアクセスを行なう場合、ユーザ認証システムを使用している。 | ||
4 | インターネット上で商品の売買および決済を行うなど重要な情報をやり取りする場合、SSLによる暗号化が行われている。 | ||
5 | サイバー攻撃を受けた場合に被害の拡大を防止するために、攻撃元のIPアドレスの特定と遮断、DDoS攻撃に対して自動的にアクセスを分散させる措置またはバックアップによるデータの復元などを講じる体制を整えている。 | ||
6 | インターネット等の通信手段を利用した非対面の取引を行う場合に、以下のいずれかのセキュリティの確保を講じている。講じている場合は、その個数を記載ください。 ①可変式パスワードや電子証明書など、固定式のID・パスワードのみに頼らない認証方式 ②取引に利用しているPCとは別の携帯電話等の機器を用いるなど複数経路による取引認証 ③ハードウェアトークン等でトランザクション署名を行うトランザクション認証 ④電子証明書をICカード等、取引に利用しているPCとは別の媒体・機器へ格納する方式 ⑤不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備 | ||
7 | 外部からの攻撃を検出・防御するためにIDS/IPSなどの侵入検知システムを導入し、最新版のパターンファイルに更新している。 | ||
8 | Web・パッケージソフトなどアプリケーションにSQLインジェクションやクロスサイトスクリプティングなどに対する適切なセキュリティ対策を実施している。 | ||
9 | 全社的な暗号化ポリシー(方針)が存在し、適用されている。 | ||
10 | 次のデータのうち暗号化しているデータの個数を記載ください。 ①社内ネットワーク内および社外へ送られるデータ ②メインフレーム(ホスト)やサーバ内に保存されるデータ ③モバイル機器やモバイルメディア内に存在するデータ ④バックアップメディア内に存在するデータ | ||
6.その他
No. | 確認内容 | ご回答 | |
はい | いいえ | ||
1 | 情報セキュリティに関連する認証を取得している。 ※ISMS、ISO27000シリーズ、ISO15408、プライバシーマーク等 (「はい」の場合は、取得されている認証を別紙①にご記入ください。) | ||
2 | 損害が発生した場合、復旧や代替品の手配に1か月以上を要するコンピュータやユーティリティ設備がない。 | ||
3 | 自社で使用するコンピュータについて、メーカー(保守業者含む)とメンテナンス契約(保守契約)を締結している。 | ||
4 | クレジットカード情報を保存、処理、または伝送する場合、PCI DSS(Payment Card Industry Data Security Standards)に準拠した対策を採っている。 | ||
5 | 過去5年において、この保険で補償される事故が発生していない。 (「いいえ」の場合は、別紙①に事故の概要、損害額、再発防止策をご記入ください。) | ||
6 | 現在この保険で補償される事故が発生する可能性がある状況、事実、事情を認識していない。(「いいえ」の場合は、別紙①に詳細をご記入ください。) | ||
別紙①
別紙②:情報セキュリティに関する認証取得状況 | |||
ISMS認証 | 認証審査機関名 | ISMS認証番号 | 認証有効期間 |
プライバシーマーク | 登録番号 | 有効期間 | |
その他の認証 | |||
用語 | 解説 |
DMZ | Demilitarized Zone(非武装地帯)。 インターネットに接続されたネットワークにおいて、組織の内部ネットワークと危険の多い外部ネットワークの間に設置されている隔離されたネットワーク領域のこと。 |
IDS | Intrusion Detection System(侵入検知システム)。ネットワーク等への不正なアクセスの兆候を検知し、ネットワーク管理者に通報する機能を持つソフトウェアまたはハードウェア。 |
IPS | Intrusion Prevention System(侵入防止システム)。コンピュータネットワークにおいて、特定のネットワークおよびコンピュータへ不正に侵入されるのを防御するシステム。 |
PCI DSS | Payment Card Industry Data Security Standards。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準のこと。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている。 |
SLA | Service Level Agreement(サービス品質保証)。サービスを提供する事業者が契約者に対し、どの程度の品質を保証するかを明示したもの。混雑時の通信速度や処理性能の最低限度や、障害やメンテナンス等による利用不能時間の年間上限など、サービス品質の保証項目を定め、それらを実現できなかった場合の料金の減額などの補償規定を利用契約に含める。 |
SSL | Secure Socket Layer。インターネット上で個人情報等を送受信する際に、暗号化して行う仕組みのこと。 |
SQLインジェクション | Structured Query Language Injection。アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。 |
VPN | Virtual Private Network(仮想専用ネットワーク)。通信事業者の公衆回線を経由して構築された仮想的な組織内ネットワークまたはそのようなネットワークを構築できる通信サービス。企業内ネットワークの拠点間接続などに使われ、あたかも自社ネットワーク内部の通信のように遠隔地の拠点との通信が行える。 |
クロスサイトスクリプティング | Cross Site Scripting。ウェブページをユーザからの入力をそのままエコーバックすることによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のこと。 |
パッチ | コンピュータにおいてプログラムの一部分を更新してバグ修正や機能変更を行なうためのデータのこと |
プライバシーマーク | 個人情報保護に関して一定の要件を満たした事業者に対し、個人情報保護団体である日本情報経済社会推進協会(JIPDEC) により使用を認められる登録商標のこと。 |
保守契約 | ハードウェアやソフトウェアのメンテナンス、障害対応などのサービスを提供する契約のこと。 |
ユーザ認証システム | ユーザを認証して特定し、ネットワークシステムのセキュリティレベルを高めるために使用されるシステムのこと。ユーザIDやパスワードなどの組み合わせにより、ログインしたユーザが、ネットワークの利用可能ユーザであるかどうかを識別する。 |