ISMS基本方針
創研情報株式会社(以下「当社」という)は、インターネットやイントラネット系システム、金融などの端末制御システムを中心に、システムの設計・開発、コンサルティングを行っている。
当社においては、顧客情報(含む個人情報)・顧客資産(ハードウェア・ソフトウェア)の保有、システムの開発に関する営業機密の蓄積などにより、情報の漏洩、改ざん、サービスの停止、事業及び業務執行における潜在的なリスクを有している。
既存顧客の契約条件や新たなニーズに対応できる情報セキュリティ体制の強化と、新規顧客の獲得に向けた情報セキュリティ体制の強化を重点方針として、当社及び顧客の資産の機密性、完全性、可用性を確保するためのISMS基本方針をここに定める。
当社の従業員は、このISMS基本方針を遵守し、情報セキュリティマネジメントシステム(ISMS)の維持、向上に努めなめればならない。
1.適用範囲
今回ISMSは、全社を対象に構築する。その部門とは、開発部門、営業部門および業務推進部とする。その他の社内関連部門並びに社外の主な関連先(顧客、取引先、協力会社、業務委託先など)とのインターフェイス部門とのセキュリティ上の役割、責任を明確化して、PDCAを確立し、継続的な改善を行う。
また、適用範囲におけるすべての事業活動に関わる情報資産に適用する。ここでいう情報資産とは、顧客情報、個人情報や営業情報、技術、ノウハウなど経営情報(文書・データ等)、情報システム、ソフトウェア資産、サービス及びこれらを保護、利用することに関わる物理資産(施設・設備)を対象とする。
2.目的
顧客の機密情報及び当社の営業機密の機密性を維持することは、事業継続のための重要なポイントである。
ISMS構築、運用を通じて、セキュリティを維持、改善することで、この事態に対応する。
当社業務の運営に関わる者すべてが本趣旨を理解し、情報漏洩などの事件、事故が起こらないよう、また、システム開発の完全性、可用性が損なわれることがないよう、事業や階層などの単位で「情報セキュリティ目的」を確立し、その達成に必要な活動を計画的に実践する。
3.コンプライアンス
当社は、不正競争防止法・知的財産基本法・不正アクセス禁止法・著作権法・個人情報保護法・経済産業省の個人情報の保護に関するガイドライン・各自治体の個人情報保護条例及びISMS関連規則・基準並びに顧客との契約を遵守する。
4.ISMS組織環境の確立
ISMS基本方針に基づく、セキュリティ要求事項の審議及び対策の企画・実施・評価を行うために情報セキュリティ管理責任者及びISMS事務局を置く。情報セキュリティ管理責任者は、ISMS基本方針に基づき、情報資産に対するリスクアセスメント、管理策の策定、リスク対応計画書作成と評価を行い、その内容を社長に上申して決定を仰ぐものとする。
また内部監査責任者を置き、定期監査により各種法令、情報セキュリティ方針、各種規程・手順の遵守状況を確認し、運用に反映することでISMSの継続的改善に努めるものとする。
従業員に対しては、情報セキュリティの教育、訓練を定期的に実施し、セキュリティに対する意識を高めるものとする。
5.リスクアセスメント
リスクアセスメントの方法(リスク評価基準、リスクアセスメントの構造など)を確立し、これに基づくリスクマネジメントの体系的なアプローチを定義する。
顧客情報の大量保有においては、情報の漏洩、盗難、紛失による悪用のリスクがあると考え機密性を、また、データを保持するシステムの停止及び誤作動は当社業務において重大な影響を及ぼすため、その完全性、可用性を重視したリスクアセスメントを行う。
これにより、情報資産の脅威と脆弱性を識別し、事業上の要求事項、法的要求事項への対応も識別する。
また、リスクアセスメントで顕在化したリスクの対策を行うことで、事業継続の安定化と顧客満足を確実なものとする。
なお、リスクアセスメントは客観的に体系化され、重要なリスクを有効に見出す仕組みとし、継続して見直しを行えるものする。
制定日:2010年3月9日
改定日:2014年9月18日
創研情報株式会社
代表取締役 阪本 浩朗