情報資産の適切な管理

‎SECURITY情報セキュリティのための方針群

情報セキュリティ基本方針

1.情報セキュリティの目的

現代知識社会を可能にするものは知識情報の共有化であり、その基盤とするものは情報セキュリティに対する信頼感です。当社の業務はお客様の経営戦略や顧客情報等重要な情報資産の活用を委託される事であり、情報セキュリティを守ることは職業的な基盤として自明の職務であると認識しています。
当社では情報セキュリティマネジメントシステムを構築し、事業における以下の情報セキュリティ目的を達成するための対策を実施することを通じて、お客様の信頼確保に努めます。

  1. 情報セキュリティの基本的な維持事項である「機密性」「完全性」および「可用性」を確保し維持すること。
  2. 日本国内の法律・法令・条例または日本国が批准する条約が要求する事項に対して違反しないこと。
  3. 重大な障害または災害から事業活動が中断しないように、予防および回復手段と手順を策定し、定期的な見直しを行うこと。
  4. 情報セキュリティの教育・訓練を全ての従業員に対して定期的に実施すること。
  5. 情報セキュリティ上の諸規程へ違反している事象や、情報セキュリティの観点から是正が必要と判断された弱点を報告・調査し、対応すること。

2.情報セキュリティの対象範囲

当社では、当社の業務に従事する者、及び業務遂行上保護すべき全ての情報資産を対象とした情報セキュリティマネジメントシステムを構築し、情報資産の機密性、完全性、及び可用性の確保を実現します。

3.情報セキュリティについて取り組み

当社では情報セキュリティマネジメントシステムの構築及び運用にあたり、社長を筆頭に全社員が一丸となって下記を骨子とした施策を実施します。

  1. 経営陣および当社の業務に従事する者全員は、情報セキュリティに関わる事業上の要求事項及び法的又は規制要求事項を遵守し、あわせて契約上のセキュリティ義務を果たします。
  2. 情報セキュリティ管理組織を構築し、情報セキュリティマネジメントシステムの実施と運用に関わる責任と権限を与えます。
  3. 情報セキュリティに関わるリスク分析の仕組みを確立し、これを実施します。
  4. 情報セキュリティを守るために適切な設備及び社内規程を整備することを通じて物理的・人的・組織的・技術的施策を講じ、情報資産に対する不正な侵入、漏えい、改ざん、紛失・盗難、破壊、利用妨害などが発生しないよう努めます。
  5. 情報セキュリティの確保に必要な教育研修を行います。
  6. これらの施策は適切に見直しを行い、継続的な改善に努めます。
  7. 経営陣はこれらの施策を確認の上承認すると同時に、構築と運用に必要な適切な経営資源を確保し配分します。

 

制定 2004年11月24日
改訂 2015年 2月 1日
株式会社創風システム
代表取締役 石塚 修

 

 

 

 

情報セキュリティ個別方針

1.モバイル機器の方針

モバイル機器については、その特性及びリスクを考慮し下記の方針に従い利用します。

  • 会社支給のモバイル機器の利用については、その取扱い手順を定め、管理・運用する。
  • 私有のモバイル機器の業務利用を禁止する。

2.アクセス制御方針

情報資産を、不正利用、誤使用などの不適切なアクセスから保護するため、情報資産の機密レベル及び利用者の所属部門、職務、職位に応じて、アクセス権限を適切に設定・管理します。

3.テレワーキング方針

テレワーキングについて、場所・情報の種類・アクセス方法等セキュリティに影響を与える項目を判断し、その可否及びセキュリティ対策を個別に実施します。

4.暗号による管理策の利用方針

情報資産のリスクレベル及び技術の進歩を考慮して、適切な暗号化技術を適用します。

5.暗号鍵の利用・保護及び有効期間に関する方針

暗号鍵は、適切な有効期限を設定し、システム管理者以外がアクセスできないように保護します。

6.クリアデスク・クリアスクリーン方針

クリアデスク・クリアスクリーンについては、下記の方針に従い実施します。

  • 業務情報を含んだ書類や取り外し可能な記憶媒体を机の上などに放置しない。同様に、プリンタやFAXに放置しない。
  • PC端末の画面上に重要な情報を表示したまま離席しない。
  • PC端末が重要なシステムにログオン状態のまま離席しない。

7.情報のバックアップ方針

情報のバックアップについては、下記の方針に従い実施します。

  • 情報資産の完全性と可用性を保護するため、情報資産の重要性、機密性及び技術の進歩を考慮して、適切なバックアップ技術を適用する。
  • バックアップの頻度・保管期間・タイミング・手順などは、事業上の要求事項を考慮し決定する。
  • バックアップデータは、他の機密情報同様に厳重に管理・保管する。
  • バックアップ処理が正常に行われているか、定期的に監視する。
  • データの復旧が可能か定期的に確認作業を実施する。

8.情報転送の方針

あらゆる情報資産の交換(物理的配送、FAX、電子メール等)において、情報漏洩や改竄等への業務リスクを認識し、適切な対策を確立し、実施します。

9.セキュリティに配慮した開発のための方針

セキュリティに配慮したソフトウェア及びシステム開発のための規則を定め、適用します。

10.供給者関係のための情報セキュリティの方針

当社の特定の業務の一部または全部を外部委託する場合、および第三者が提供するサービスを利用する場合には、当社の情報セキュリティ要求事項について、供給者と合意し、文書化します。

 

制定 2018年6月1日
株式会社創風システム
代表取締役 石塚 修