ISMS Basic Policy
ISMS基本方針
1. 目的
情報資産と個人情報のセキュリティを守り、お客様及び関連する企業様、パートナー様の安全を確保することは、社会的責務であり、事業を継続する上で不可欠なことと認識しております。
ここに、「情報セキュリティ基本方針」を定め、情報セキュリティに関わる当社の基本的な取組みを宣言し、当社の業務に携わる役員、社員、及びパートナー会社社員が継続的な情報セキュリティ対策を推進するための基本方針とします。
2. 情報セキュリティの定義
「情報セキュリティ」とは、情報資産の「機密性」、「完全性」及び「可用性」を維持することと定義します。
3. 適用範囲
本基本方針は、役員、従業員、及びパートナー会社社員(以下、全従業員という)並びに当社が保有する重要な情報資産すべてに適用します。
4. 情報セキュリティの目標
当社の掲げる最終目標は次の通りとします。
(1) 情報セキュリティインシデントを未然に防止し、発生ゼロを目指します。
(2) 情報セキュリティインシデントが発生した場合、被害を最小限にとどめ、規定時間内の復旧と再発防止を目指します。
5. 情報セキュリティマネジメントシステムの構築と実施体制
情報セキュリティマネジメントシステムを構築し、情報セキュリティ委員会を設置します。その円滑な推進を図るため推進体制を定め、責任と権限を明確にします。
当社のあらゆる企業活動に関わる情報資産を、確実に保護するための体制を構築し、全社を対象とするリスク分析に基づき、適切な管理対策を実施します。
6. 情報セキュリティ基本原則
(1) アクセス制限の原則
業務上必要な者のみに情報資産へのアクセス権限を与えることとします。
(2) 情報資産の管理
情報資産は法令・規制、契約上の要求事項及び当社の定める情報セキュリティの規定に従い管理します。
(3) 情報資産の分類
情報資産は、資産価値、機密性、完全性、可用性の観点から、それらの重要性に応じて適切に分類し管理することとします。
(4) リスクマネジメント
リスク評価方法を採用し、事業の特性から最も重要と判断する情報資産についてリスク分析を実施し、適切な対策を実施します。リスク対策については、有効性を測定し効果を評価し、リスクマネジメントの向上を図ります。
(5) 監視
情報セキュリティマネジメントシステムが適切に管理されていることを、日常の監視体制、定期的な内部監査及び経営者のレビューなどにより継続的な監視活動を実施します。
(6) セキュリティインシデントの対応
情報セキュリティに関連する事件・事故の速やかな対策をとるとともに、その原因を分析し、再発防止策と予防対策を講じます。
(7) 事業継続管理
災害や情報システムの故障など重大な事象の発生時において、主要な事業の中断を最小限に抑え、事業の継続を確保します。
(8) 教育・訓練
全従業員に対し、職務に応じて必要な情報セキュリティ教育及び訓練を実施し、その有効性を確認します。業務に従事するすべての者が、情報セキュリティの重要性を認識し実践できるよう、タイムリーで必要な内容の教育・訓練を徹底します。
(9) 規程・手順類の遵守
情報セキュリティマネジメントシステムの規程、手順類を整備し、その遵守の徹底を図ります。
(10) 法律上及び契約上の要求事項の遵守
情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を遵守します。当社が関係する法令、規則は一覧表にして明確に示し、全従業員の周知を図ります。
従事者全員で、情報セキュリティに各種法令、および業界基準を遵守します。
(11) 個人情報の保護
個人情報については、プライバシーマーク制度(JIS Q 15001)に準拠した当社の「個人情報保護方針」に則り、安全確実に管理します。
(12) 情報セキュリティ事故に対する適切な予防措置
予想しうる情報セキュリティ事故を未然に防止するとともに、社外事例からも学び、根本対処による事故撲滅をお約束します。
(13) 継続的改善
情報セキュリティマネジメントシステムの継続的な改善に取り組みます。これら活動については、経営トップまで含めた定期的な見直し・改善を継続することで、新たな脅威にも的確に対応します。
本基本方針は、2011年4月1日より施行する。
本基本方針は、2019年7月9日に改訂した。