ISMS基本方針

  • HOME »
  • ISMS基本方針

情報資産を脅威から守りリスクを軽減します

dog

ISMS基本方針

1.目的および目標

seq当社の情報セキュリティ・マネジメント・システムは、企業理念『私たちは、IT技術サービスの提供を通じて信頼の輪を育て、明るい社会の発展に貢献します。』を実現するための仕組みの一つである。当情報セキュリティ・マネジメント・システムにより、次のことを達成することを目標とします。

・従業員の情報セキュリティに対する意識の向上
・情報資産と個人情報の保護レベルの向上
・情報セキュリティに対するお客様の信頼性の向上

2.情報セキュリティの定義

情報セキュリティとは、当社において取り扱う情報の機密性、完全性、可用性を確保することです。 機密性とは、アクセスを認可された者だけが情報にアクセスできることを確実にすること、完全性とは、 情報及び処理方法が正確であり完全であることを保護すること、 可用性とは認可された利用者が必要なときに、 情報及び関連する資産にアクセスできることを確実にすることです。

3.適用範囲

本基本方針は、役員、従業員、及びパートナ会社社員(以下、従業員という)並びに当社が保有する重要な情報資産すべてに対し適用します。

4.情報セキュリティ・マネジメント・システムの構築と実施体制

情報セキュリティ・マネジメント・システムを構築し、情報セキュリティ委員会を設置・運営します。

5.お客様との契約および法的要件の順守

従業員は、お客様との契約上のセキュリティ義務、関連法令を遵守します。

6.情報セキュリティにおける責任の明確化

(1)従業員は、社内で定められたセキュリティ規定の実施責任を持ちます。
(2)従業員は、その職責に応じて情報セキュリティ教育・訓練を受けます。
(3)従業員は、情報セキュリティ規定の違反や弱点について手順に従い報告します。
(4)所属長、リーダーは、自組織・自チームの従業員に対しセキュリティ規定を理解させ、遵守させる責任を持ちます。
(5)情報セキュリティ委員会は、報告された情報セキュリティ規定の違反や弱点を調査し、必要に応じて改善処置します。
(6)情報セキュリティ委員会は、セキュリティに関する方針および規定類を、定期的に見直します。

7.情報セキュリティ基本原則
(1)アクセス制限の原則

 業務上必要な者のみに情報資産へのアクセス権限を与えます。

(2)情報資産の管理

 情報資産は法令・規制、契約上の要求事項及び当社の定める情報セキュリティの規定に従い管理する。

(3)情報資産の分類

情報資産は、資産価値、機密性、完全性、可用性の観点から、それらの重要性に応じて適切に分類し管理します。

(4)リスクマネジメント

リスク評価方法を採用し、事業の特性から最も重要と判断する情報資産についてリスク分析を実施し、 適切な対策を実施します。リスク対策については、有効性を測定し 効果を評価し、リスクマネジメントの向上を図ります。

(5)監視

 情報セキュリティ・マネジメント・システムが適切に管理されていることを、定期的な経営者のレビューなどにより 継続的な監視活動を実施します。

(6)セキュリティインシデントの対応

情報セキュリティに関連する事件・事故の速やかな対策をとるとともに、その原因を分析し、発防止策と予防対策を講じます。

(7)事業継続管理

災害や情報システムの故障など重大な事象の発生時において、主要な事業の中断を最小限に抑え、事業の継続を確保します。

(8)教育・訓練

従業員に対し、職務に応じて必要な情報セキュリティ教育および訓練を実施し、その有効性を確認します。

(9)規程・手順類の順守

情報セキュリティ・マネジメント・システムの規程、手順類を整備し、その順守の徹底を図ります。

(10)法律および契約上の要求事項の順守

情報セキュリティに関する法令、規制および契約上のセキュリティ義務を順守します。

(11)継続的改善

情報セキュリティ・マネジメント・システムの継続的な改善に取り組みます。


ISMS認証取得

isms_558239_iso27001%e7%89%88社会的に情報セキュリティ対策への関心が高まる中、お客様により安心して弊社とお取引をして頂くためには、情報セキュリティに関する理解を深めるとともに、弊社の情報セキュリティ対策レベルを客観的な基準で分析評価し、不充分な点を改善することが必要と考え認証取得に取り組みました。その結果、全社におきまして2010年5月26日に国際規格である「ISO27001( ISO/IEC27001:2005 )」認証を取得いたしました。

今後ともセキュリティレベルの向上に努めてまいりますので、益々のご愛顧を賜りますよう、宜しくお願い申し上げます。


認証概要

  • 登録日 ・・・・・ 2010年5月26日
  • 改定日 ・・・・・ 2015年12月16日
  • 認証登録範囲 ・・ 情報システムのコンサルティング、企画、分析及びソフトウェアの開発
  • 適用規格 ・・・・ ISO/IEC 27001:2013 / JIS Q 27001:2014
  • 審査登録機関 ・・ エイエスアール株式会社
  • 登録番号 ・・・・ J0203
PAGETOP
Copyright © 株式会社レタス All Rights Reserved.