ISMS基本方針ISMS

基本方針

1.目的

当社は、ICTサポートサービスを提供する中で多くのお客様から情報を預かる立場として、情報セキュリティを確保し、顧客に安全と安心を提供することが社会的責務であり、企業継続につながると考えています。
情報の機密性・完全性・可用性を維持することを情報セキュリティの定義とし、当社が取扱うお客様の情報資産及び当社の資産を適切に保護するとともにセキュリティ事故を予防することを目的に情報セキュリティマネジメントシステム(ISMS)を構築し、情報セキュリティの継続的な向上に努めます。

2.情報セキュリティの定義

「情報セキュリティ」とは、情報資産の「機密性」、「完全性」及び「可用性」を維持することと定義します。
「情報資産」とは、情報及び情報システム。
「機密性」とは、情報資産を権限を持たないものが参照することを防止すること。
「完全性」とは、情報資産が正確かつ完全さを保護すること。
「可用性」とは、情報資産が定められた方法により、必要な時に利用できること。

3.適用範囲

本基本方針は、役員、従業員（以下、全従業員という）、並びに当社が保有する重要な情報資産すべてに適用します。
具体的に適用する業務、組織、拠点、情報資産、情報システムなどについては、適用範囲定義書に記載します。

4.情報セキュリティの目標

当社の掲げる最終目標は次の通りとします。

1. 情報セキュリティインシデントを未然に防止し、発生ゼロを目指します。
2. 情報セキュリティインシデントが発生した場合、迅速に処理し被害の拡大を防止するとともに再発防止を目指します。

5.情報セキュリティマネジメントシステムの構築と実施体制

情報セキュリティマネジメントシステムを構築し、情報セキュリティ委員会を設置します。その円滑な推進を図るため推進体制を定め、責任と権限を明確にします。

6.情報セキュリティ基本原則

1. アクセス制限の原則
   業務上必要な者のみに情報資産へのアクセス権限を与えることとします。
2. 情報資産の管理
   情報資産は法令・規制、契約上の要求事項及び当社の定める情報セキュリティの規定に従い管理します。
3. 情報資産の分類
   情報資産は、資産価値、機密性、完全性、可用性の観点から、それらの重要性に応じて適切に分類し管理することとします。
4. リスクマネジメント
   リスク評価方法を採用し、事業の特性から最も重要と判断する情報資産についてリスク分析を実施し、適切な対策を実施します。 リスク対策については、有効性を測定し効果を評価し、リスクマネジメントの向上を図ります。
5. 監視
   情報セキュリティマネジメントシステムが適切に管理されていることを、日常の監視体制、定期的な内部監査及び経営者のレビューなどにより継続的な監視活動を実施します。
6. セキュリティインシデントの対応
   情報セキュリティに関連する事件・事故の速やかな対策をとるとともに、その原因を分析し、再発防止策と予防対策を講じます。
7. 事業継続管理
   災害や情報システムの故障など重大な事象の発生時において、主要な事業の中断を最小限に抑え、事業の継続を確保します。
8. 教育・訓練
   全従業員に対し、職務に応じて必要な情報セキュリティ教育及び訓練を実施し、その有効性を確認します。
9. 規程・手順類の順守
   情報セキュリティマネジメントシステムの規程、手順類を整備し、その順守の徹底を図ります。
10. 法律上及び契約上の要求事項の順守
    情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を順守します。当社が関係する法令、規則は一覧表にして明確に示し、全従業員の周知を図ります。
11. 継続的改善
    情報セキュリティマネジメントシステムの継続的な改善に取り組みます。

7.周知

本基本方針及び情報セキュリティに関連する規程に違反する行為を行った従業員は、就業規則に定めるところにより懲戒を受けることがあります。

8.罰則

本基本方針及び情報セキュリティに関連する規程に違反する行為を行った従業員は、就業規則に定めるところにより懲戒を受けることがあります

9.見直し

情報セキュリティ基本方針は、毎年見直しを図ります。
事業環境に大きな変化が生じた場合には、本基本方針を適時に見直します。

10.附則

本基本方針は、2012年12月1日より施行します。
（ISMS認証取得日：2013年3月25日）