情報セキュリティ方針
Security Policy
情報セキュリティ方針
当社は、情報処理サービス企業として、情報セキュリティについて適切な措置をとる社会的責任があることを認識し、以下のとおり情報セキュリティ基本方針(以下、「本基本方針」という。)を定め、当社並びにお客様からお預かりしている情報資産を、あらゆる脅威から適切に保護することを目的に、情報セキュリティマネジメントシステム(ISMS)を構築し、継続かつ網羅的に安全対策を講じていくものとする。
1. 情報セキュリティの定義
資産の「機密性」、「完全性」及び「可用性」を維持すること。
「資産」とは、組織にとって価値をもつものをいう。
「機密性」とは、認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。
「完全性」とは、資産の正確さ及び完全さを保護する特性。
「可用性」とは、認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。
2. 適用範囲
本方針は資産、及び役員・社員(協力会社社員も含む)を対象とする。具体的に適用する業務、組織、拠点、資産等については「適用範囲文書」に記載する。
3. 情報セキュリティ基本方針
(1) 資産の管理
情報セキュリティの確保に万全を期すものとし、情報セキュリティインシデントの未然防止に、常に最優先で取り組むものとする。
(2) 個人情報保護
「JISQ15001 個人情報保護マネジメントシステム-要求事項」に準拠した「個人情報保護方針」に基づき個人情報を保護する。
(3) 情報セキュリティ管理体制
ISMSの適切性・妥当性及び有効性を確実にするための調整組織として、社内に「情報セキュリティ委員会」を設置する。
(4) 情報セキュリティに関する教育・訓練及び周知徹底
役員及び全従業員(協力会社社員も含む)に対し教育・訓練を継続的に実施し、情報セキュリティの周知徹底に努めるものとする。
(5) リスク分析及び評価
技術の進歩や外部環境の変化等によって生じる新たなる脅威に備えるため、情報資産のリスク分析・評価をあらかじめ定めた間隔
でレビューし、それを本基本方針及び各種施策に反映させることにより情報セキュリティの維持向上に努めるものとする。
(6) 内部監査の実施
情報セキュリティに関する運用状況等について内部監査を実施し、必要に応じて適切な是正措置を講じることにより情報セキュリティの確保に努めるものとする。
(7) 法令・規程及び契約上の順守
情報セキュリティに関する法令、規制及びISMSに関連する規程、更には業務上取り交わした契約書等の要求事項を順守する。
(8) 事業継続管理
災害や情報システムの故障等により、情報セキュリティが失われ事業継続が困難となる非常事態を想定し、業務の復旧に関する具体的な事業継続計画を立て訓練を実施する。なお、非常事態が発生した場合は、事業の中断を最小限に抑え、事業継続の確保に努めるものとする。
4. 罰則
本基本方針及び情報セキュリティに関連する規程に違反した従業員は、その程度に応じ就業規則の定めるところにより懲戒処分の対象とする。また、協力会社社員及び外部委託事業者については、個別に締結した契約により処分の対象とする。
5. 評価及び見直し
情報セキュリティ監査結果並びに取り巻く環境変化による新たな脅威の発生などを踏まえ、定期的に本基本方針の評価及び見直しを実施し、ISMSの継続的改善を図るものとする。