セキュリティポリシーSECURITY POLICY

情報セキュリティ方針

基本的な考え方

高度情報社会において、当社が事業継続・発展するためには、情報基盤の整備に加えて、個人情報の適切な取扱など、当社の資産のセキュリティを確保することが不可欠である。このような観点から当社は、情報セキュリティを経営の最重要課題の一つとして位置づけ、事業上の要求事項及び適用される法的又は規制要求事項ならびに契約上のセキュリティ義務を遵守することは当然として、情報セキュリティに関連する要求事項を満たすことの大切さを当社の全従業者（及び該当する場合は外部委託先）に十分意識させ、資産を確固として守る。

情報セキュリティ目的設定のための枠組み

(1)

リスクを受容可能な水準まで低減、維持する

(2)

当社の情報セキュリティに対する侵害を阻止

(3)

当社内外の情報セキュリティを損ねる加害行為を阻止

(4)

情報資産に対して、重要度による分類とそれに見合った管理

(5)

情報セキュリティに関する情報の取得を支援

組織・体制

社長からISMSの経営責任を委譲されたセンターサービス部担当役員は、情報セキュリティの最終責任を持ち、ISMSオーナーとなる。ISMSオーナーは、情報セキュリティ管理責任者を実施上の責任者として任命し、情報セキュリティ対策を推進する。
情報セキュリティ管理責任者は、日常的な業務での資産の保護を、どのような手順でどのような体制で行うかを明確にする。

情報の分類と管理

当社で扱われるすべての媒体に記録された情報について、当社の事業継続･発展の観点から情報の重要度による分類、情報の管理方法、管理責任を規定する。情報の種類として大別すれば、事務･管理情報に加えて、顧客情報、個人情報などがある。重要度の分類と漏えい、改ざんや破壊によるリスク分析を検討する必要がある。リスク評価では事業活動の事業継続･発展を判断基準とする。

物理的セキュリティ

情報システムの設置場所について、安全性を保ち不正な立入を阻止する対策を立てることのほかに、デスク上のパソコンまたは持ち運びを前提としたノートパソコン等の資産を保護するための対策にも十分配慮する。

人的セキュリティ

全従業者に対して、情報セキュリティ方針･情報セキュリティ目的及び必要な管理策を周知徹底させるとともに、各人がどのような権限と責任を持っているかを明らかにし、情報セキュリティを確保するための啓発活動や教育を講じなければならない。
セキュリティ事件･事故及び誤動作ならびにセキュリティの弱点の報告は、できるだけ速やかに報告する責任がある。一方、故意の違反に対しては、所定の規則に従い適正に対処する。セキュリティの弱点を試すことも、故意の違反である。

技術セキュリティ

社外または社内からの不正なアクセスによる資産の破壊等を阻止するため、情報ネットワークのアクセスス制御･管理に必要な対策を講じる。情報の分類によって、物理的または論理的に異なるネットワークの導入を考慮する。

継続的改善

当社は、事業戦略、日進月歩の情報技術の発展などを踏まえ、情報セキュリティマネジメントシステムの継続的改善に努める。

制定日：2021年1月4日
最終改定日：2023年6月22日

ひろぎんＩＴソリューションズ株式会社
代表取締役社長　柳田　剛