企業概要 CAMPANY
情報セキュリティ基本方針
情報セキュリティ基本方針
代表取締役 室井俊之
1. 全般的認識及び原則
弊社は経営陣から発せられた言葉に則り、
弊社のISMSを日本工業規格(JISQ27001:2014)に準拠して、構築、運営管理する。
2. 体制
弊社は、経営陣直轄の組織として情報セキュリティ委員会の設置及び内部監査責任者を任命し、
情報セキュリティを全社総合的に調整、推進する体制を整える。
ISMS統括責任者は、最終的な責任者としてマネジメントレビューを実施する。
3. 法的要求事項の遵守
弊社ISMSの確立及び運営管理にあたっては、事業上及び法令又は規制の要求事項、
並びに契約上のセキュリティ義務を考慮する。
4. ISMSの確立及び維持
弊社のISMSは本情報セキュリティ基本方針にしたがい確立及び維持する。
また、会社全体の戦略的なリスクマネジメントの状況と調和を取る。
5. 情報セキュリティ目的
情報セキュリティ委員会は、情報セキュリティの向上のために「情報セキュリティ目的」を策定し、
組織全体への展開を図る。
ISMS組織要員は、情報セキュリティ目的達成に向けて自らの活動を明確にし、積極的に活動するものとする。
6. リスクマネジメント
情報セキュリティ委員会は、リスクマネジメントを的確に行うために、
リスクマネジメントについての手順書を定め、 ISMS組織全員で遵守する。
情報セキュリティ委員会は、資産に対する脅威と脆弱性を識別し、
判明したリスクを正当な規準を用いてリスク対応を評価する仕組みを確立し、
定期的にアセスメントを実施するものとする。
7. 資産の管理と取扱い
ISMS組織要員は、組織の業務上で必要かつ重要な資産を明確化し、
適切な保護及び維持の仕組みを構築するものとする。
8. 情報へのアクセス管理
ISMS組織要員は、情報のアクセスについて以下の管理を行う。
情報の取扱いに関して、各組織と従業員の職務権限を明確に定める。
情報へのアクセス権限は、情報の種類および業務に応じて真に必要な者に限定して付与する。
情報へのアクセスの際は、識別(ID)、認証(パスワード)を確実に行う。
情報へアクセスした場合、またはデータベースやプログラムに変更を加えた場合等は、その証跡を記録し、一定期間保有する。
9. 入退館管理
外部からの不審者、入館権限のない者の侵入等を防ぐため『入退管理規定』により管理する。
10. 業務委託先の管理
業務委託は、情報保護・セキュリティの観点から業者選定基準を設け、十分な審査を経て適格な相手先を選定する。
また、委託契約等において情報の適切な管理のための必要な措置、秘密保持、再提供の禁止、
検査への協力等情報の 管理に関する事項について定める。
11. 情報の保有期間と廃棄
情報の種類毎に保有期間を定め、保有期間を経過した情報は定期的かつ安全・確実に廃棄する。
12. 教育・訓練
ISMS組織要員は、職務に応じて必要な情報セキュリティに関する教育を定期的に受講する。
13. 内部監査
ISMSについての内部監査を定期的に行い、是正等が必要な場合はそれらを積極的に実施する。
ISMS組織要員に対する罰則
ISMS組織要員が、本方針及び情報セキュリティの関連規程に違反する行為を発見した場合は、
情報セキュリティ委員会に報告する。報告を受けた情報セキュリティ委員会は、
報告内容を協議し、規定された対応を行う。