セキュリティポリシーSECURITY POLICY
情報セキュリティ方針
基本的な考え方
高度情報社会において、当社が事業継続・発展するためには、情報基盤の整備に加えて、個人情報の適切な取扱など、当社の資産のセキュリティを確保することが不可欠である。このような観点から当社は、情報セキュリティを経営の最重要課題の一つとして位置づけ、事業上の要求事項及び適用される法的又は規制要求事項ならびに契約上のセキュリティ義務を遵守することは当然として、情報セキュリティに関連する要求事項を満たすことの大切さを当社の全従業者(及び該当する場合は外部委託先)に十分意識させ、資産を確固として守る。
情報セキュリティ目的設定のための枠組み
- (1)
- リスクを受容可能な水準まで低減、維持する
- (2)
- 当社の情報セキュリティに対する侵害を阻止
- (3)
- 当社内外の情報セキュリティを損ねる加害行為を阻止
- (4)
- 情報資産に対して、重要度による分類とそれに見合った管理
- (5)
- 情報セキュリティに関する情報の取得を支援
組織・体制
社長からISMS の経営責任を委譲されたセンターサービス部担当役員は、情報セキュリティの最終責任を持ち、ISMS オーナーとなる。ISMS オーナーは、情報セキュリティ管理責任者を実施上の責任者として任命し、情報セキュリティ対策を推進する。
情報セキュリティ管理責任者は、日常的な業務での資産の保護を、どのような手順でどのような体制で行うかを明確にする。
従業者への教育
全従業者に対して、情報セキュリティ方針・情報セキュリティ目的及び必要な管理策を周知徹底させるとともに、各人がどのような権限と責任を持っているかを明らかにし、情報セキュリティを確保するための啓発活動や教育を講じなければならない。
セキュリティ事件・事故及び誤動作ならびにセキュリティの弱点の報告は、できるだけ速やかに報告する責任がある。一方、故意の違反に対しては、所定の規則に従い適正に対処する。セキュリティの弱点を試すことも、故意の違反である。
継続的改善
当社は、事業戦略、日進月歩の情報技術の発展などを踏まえ、情報セキュリティマネジメントシステムの継続的改善に努める。
情報セキュリティ個別方針
情報の分類と管理
当社で扱われるすべての情報について、当社の事業継続・発展の観点から情報の重要度による分類、情報の管理方法、管理責任を規定する。情報の種類として大別すれば、事務・管理情報に加えて、 顧客情報、個人情報などがある。重要度の分類と漏えい、改ざんや破壊によるリスク分析を検討する必要がある。リスク評価では事業活動の事業継続・発展を判断基準とする。情報の分類によって、 物理的または論理的に異なるネットワークの導入を考慮する。
アクセス制御
社外または社内からの不正なアクセスによる資産の破壊等を阻止するため、業務及び情報セキュリティの要求事項に基づいてアクセス制御方針を確立し、管理する。
物理的セキュリティ
情報システムの設置場所について、安全性を保ち不正な立入を阻止する対策を立てることのほかに、デスク上のパソコンまたは持ち運びを前提としたノートパソコン等の資産を保護するための対策にも十分配慮する。
情報の転送
情報を転送する場合は情報漏洩のリスクを根絶するため、情報の重要度に応じて管理ルールを確立し運用する。
情報セキュリティインシデント管理
「事故障害等」が発生した場合の対応態勢を構築し、その確実な実施を図るとともに、 「顧客満足度」(CS)の向上と「価値ある情報サービス」の提供を通じて、 当社と顧客等との「強い信頼関係」の維持、発展に資する。また、情報資産の重要性、機密性等を考慮して、適切なログの取得を行う。
バックアップ
情報資産の完全性と可用性を保護するため、情報資産の重要性、機密性等を考慮して、適切なバックアップを適用する。
技術的ぜい弱性の管理
社内にサイバーセキュリティ専門部門を設立し、サイバーセキュリティに関する総合的な管理を行う。
初版制定日:2021年1月4日
最終改定日:2025年1月14日
ひろぎんITソリューションズ株式会社
代表取締役社長 柳田 剛
