日本総合システム株式会社(以下、当社)は、ソフトウェア会社として、常に技術・品質を追求し、 お客様に最適で高品質なシステムを提供することで、信頼される誠実な企業であることを経営理念としております。そのため、全ての社員がプロフェッショナルとしての誇りを持ち、情報資産保護に対する重要性を認識し、お客様の信頼を維持することを重要な経営課題と捉えております。当社ではこの課題を達成するために、ISMS基本方針を定め、情報セキュリティマネジメントシステムを実施いたします。
1.情報セキュリティの目的
当社が保有する情報資産を消失、盗難、不正使用、漏洩などの脅威から保護し、機密性、完全性、可用性を維持することを目的とします。
2.適用範囲
当社の全事業所で行う全ての業務をISMSの対象とします。
3.経営者の責任
経営者は、ISMSの基本方針及び目的を定め、情報セキュリティ管理責任者を任命し、各部門から情報セキュリティ責任者を任命します。経営者は、これらの者が行う情報セキュリティマネジメントシステムの活動に必要な経営資源を提供します。経営者は、リスクアセスメントの枠組み、リスク受容基準、及びリスクの受容可能レベルを決め、リスクアセスメントの結果、残留リスク、管理策の採否結果、及び、構築された情報セキュリティマネジメントシステム、これらを推進するセキュリティ計画の承認、決定を行います。
また、定期的な内部監査、マネジメントレビューを実施し、採用した管理策の有効性の評価、実施した改善の有効性の評価、リスクアセスメントの結果及びマネジメントシステムならびにこの基本方針を見直し、情報セキュリティマネジメントシステムの継続的な改善を実施します。
4.管理者の義務
情報セキュリティ管理責任者は、ISMSの活動を推進し、各部門の情報セキュリティ責任者と共に、情報セキュリティマネジメントシステムを確立し、導入、運用、監視、見直し、維持及び改善を図ります。
5.リスクアセスメントの実施
当社は、情報資産の機密性、完全性、可用性を含めた情報資産に対する脅威及び脆弱性を特定かつ定量化し、リスクアセスメントを実施し、リスクアセスメント結果に基づいて、適切な対応策を実施します。
6.教育・訓練の実施
当社は、役員及び社員、協力会社社員(以下、全従業者)に対し、定期的に情報セキュリティの重要性に関する教育を実施し、倫理的行動を義務付け、意識の向上を図ることによりこの基本方針の周知徹底を図ります。
7.従業者の義務
当社の全従業者は、事業上の要求事項、情報セキュリティ関連法令(個人情報保護法、不正競争防止法、不正アクセス禁止法、著作権法など)または規制の要求事項、お客様との契約上のセキュリティ義務による要求事項を遵守します。また、情報資産に対して事件・事故及び特定された弱点について報告することを義務とします。
8.罰則
当基本方針及びISMSに関連する規定に違反する行為があった場合には、就業規則または契約に基づく罰則を適用します。
9.事故への予防と対応
当社は、セキュリティインシデントの発生の予防に努めます。万一、発生した場合には、再発防止策を含む適切な対策を速やかに講じます。また事業継続を確実にするため、災害なども含めた緊急事態を想定した事業継続計画の策定とその点検を推進します。
10.継続的改善
当社では、適切な運用が実施されるよう監視を行い、必要な是正・予防処置を実施していきます。また、環境変化や新しい脅威にも対応ができるよう情報セキュリティマネジメントシステムを継続的に見直し、改善していきます。
制定 2008年9月1日
日本総合システム株式会社
代表取締役社長 伊藤俊秀