1.【情報セキュリティの目的】
当社はコンピュータソフトウェアの企画・開発・導入・運用保守及びそれらに関するハードウェア、ソフトウェア、ネットワーク、セキュリティ等を取扱う企業です。
当社内部をはじめ、各取引先の顧客情報、製品情報、会計情報などの様々な情報資産を情報漏えい、不正アクセスなどの脅威から守るために、国際的な情報セキュリティ規格である、ISMS(情報セキュリティマネジメントシステム)を導入します。
ISMSは、社内における定期的な維持管理に加え、社外の第三者による年に1度の継続審査及び、3年に1度の更新審査を受けることが義務付けられております。会社独自の狭義なセキュリティ基準ではなく、国際規格の情報セキュリティマネジメントシステムを導入し、時代の進化に適宜対応した運用を行い、お客様から信頼し続けられる企業であるよう努めます。
2.【情報セキュリティの定義】
情報セキュリティとは、情報資産の機密性、完全性および可用性を維持することです。
(1) 情報資産とは、情報と情報システムおよびこれらが適切に保護され機能するために必要なソフトウェア、ハードウェア等の総称です。
(2) 機密性とは、情報資産がその参照する権限のないものに漏洩しないことです。
(3) 完全性とは、情報資産が正確かつ完全に維持されることです。
(4) 可用性とは、情報資産が定められた方法で、必要なときに利用できることです。
3.【適用範囲】
本方針書は、当社の管理する情報資産すべてに対して適用します。なお、情報の範囲は、情報システム内に存在する電子的機器にとどまらず、文書、磁気媒体、端末画面、電話・FAXなどすべての形態を含みます。また、本方針書は、当社事業所に勤務する全ての社員および協力会社社員に対して適用されます。
4.【実施事項】
(1) 適用範囲の全ての情報資産を脅威(漏えい、不正アクセス、改ざん、紛失・破損)から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、見直し、維持及び改善していきます。
(2) 情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守します。
(3) 重大な障害または災害から事業活動が中断しないように、予防及び回復手順を策定し、定期的な見直しをします。
(4) 情報セキュリティの教育・訓練を適用範囲すべての社員に対して定期的に実施します。
5.【責任と義務及び罰則】
(1) 情報セキュリティの責任は、代表取締役が負います。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供します。
(2) 適用範囲のスタッフは、情報資産を脅威から守る義務があります。
(3) 適用範囲のスタッフは、本方針を維持するため策定された手順を遵守します。
(4) 適用範囲のスタッフは、情報セキュリティに対する事故及び弱点を報告する責任を有します。
(5) 適用範囲のスタッフが、お客さま情報に限らず取り扱う情報資産の保護を危うくする行為を行なった場合は、社員就業規則に従い処分を行います。協力会社社員については、契約違反の対象とします。
6.【周知】
本方針書は、すべての役員、社員、パート、アルバイトおよび協力会社社員に対して周知徹底します。
7.【定期的見直し】
情報セキュリティマネジメントシステムの見直しは、環境変化に合わせるため定期的に実施するものとします。
2015年8月24日
株式会社スカイネットシステム
代表取締役 中岡 富茂