情報セキュリティ基本方針

1. 目的

  • この方針は、システムスクエア株式会社(以下、「当社」という)の情報セキュリティマネジメントシステム(以下、ISMS)を構築するにあたっての基本的な方針を明らかにしたものである。今後この文書を情報セキュリティの拠り所として位置付ける。

2. 基本声明

  • 当社は、企業行動憲章の遵守・徹底を図るため、情報セキュリティマネジメントシステム(ISMS)を確立し維持、向上させることを宣言します。また、機密性、完全性、可用性を確保、維持し、事業継続を確実にするために「情報セキュリティ基本方針」(以下、基本方針)を定めます。

3. 情報セキュリティの定義

  • 情報セキュリティとは、情報の機密性・完全性・可用性を維持することと定義する。機密性・完全性・可用性とは次のような意味を持つ。

    機密性: 認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。

    完全性: 資産の正確さ及び完全さを保護する特性。

    可用性: 認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。

4. 情報セキュリティの目的

  • (1)顧客および利害関係者に、事業上蓄積した情報やお預かりした情報をはじめとして、当社が取り扱う全ての情報資産を様々な脅威から守ること。

    (2)定期的な情報セキュリティ教育の実施により、全従業員の情報セキュリティに対する啓発及び重要性に対する意識の向上を図ること。

    (3)事業継続計画を充実させること。

    (4)情報資産の評価価値に従った適切な取扱いを行うこと。

5. 適用範囲

  • 当社は組織の内部、外部の課題、利害関係者からのニーズや期待など自社を取り巻く環境(状況)を整理し、ISMSの適用範囲を決定している。

    適用範囲は、当社の管理下にある、すべての業務活動に関わる情報資産について適用する。 詳細は、「情報セキュリティの適用範囲」を参照。

6. 管理者の任務と義務

  • 当社は情報セキュリティ委員会を設置するものとする。

    情報セキュリティ委員会は、各部門から任命し、各部門におけるISMSの推進に努める。

    さらに、各部門から全社的にISMSを発展させることに努めるものとする。

7. 従業員の義務

  • 情報セキュリティ管理責任者は、適切な規定及び実施手順により基本方針の実施を促進する。役員及び全従業員(正社員、協力会社、契約社員、パート、アルバイト)は、基本方針を維持するために策定された「情報セキュリティ規定」および情報セキュリティの各手順書に準じて行動しなければならない。

    また、情報資産に対して事件・事故及び特定された弱点について報告する義務を要するものとする。

8. リスク評価基準とリスクアセスメントの構造の確立

  • 情報セキュリティ委員会は、適用範囲にあるすべての情報資産を洗い出してその資産の価値を評価し、脅威と脆弱性の分析によりリスクを特定する。

    特定したリスクに対して最適な情報セキュリティ管理策を講じるものとする。

    すべてのリスクを定められた受容可能なリスク水準以下に軽減することを目標とする。

9. 法的又は規制要求事項への対応

  • (1)個人情報保護

    当社は、個人情報保護法に準じて個人情報を管理するものとする。

    (2)機密情報管理

    当社は、不正競争防止法に準じて顧客および当社の秘密情報を管理するものとする。

    (3)著作権保護

    当社は、著作権法に準じて著作物を管理するものとする。

10. 情報セキュリティの教育

  • 情報セキュリティに関する啓蒙・教育活動は、経営層の指示のもと、情報セキュリティ委員会で推進を図るものとする。役員及び従業員(正社員、協力会社、契約社員)は、情報セキュリティの教育及び訓練に参加することを義務とする。

11. 罰則

  • 当社の情報資産の保護を危うくする故意の行為を行なった場合は、就業規則の罰則規定に従い、懲戒又は法的処分の対象となる。

12. 見直し

  • 基本方針の見直し及び評価は、定期的に行われるマネジメントレビューで実施し、常により良いものへの改善を図る。

制定年月日:2008年9月1日

最終改定年月日:2015年2月16日

システムスクエア株式会社

代表取締役 喜来広司

※当社の個人情報保護方針と情報セキュリティ基本方針についてご覧いただけます。