情報セキュリティ基本方針 isms

Q: ISMSの適用範囲は？

ＩＳＭＳの「適用範囲」は、全社一括でなくても、施設や事業の単位で設定できます。 事業継続上、保護しなければならない重要な情報は何かを考慮し、効果的な情報セキュリティの観点から範囲を決定します。

Q: ISMSの情報セキュリティ目的は？

この情報セキュリティの目的は、組織のリーダーによって決定をする必要があり、 ISMS で重要となる「 機密性 」「 完全性 」「 可用性 」の三要素の中からリスクが高いと判断できるものを目的として掲げることで、本業と一本化した仕組みとして運用することができます。

1.制定の目的

当社は、システムライフサイクルの全ての側面で、お客様とのパートナーシップの形成を目指して、品質、生産性、技術面において常に高いレベルのサービス提供を経営方針として活動しています。経営方針実現には、情報セキュリティ・レベルの確保と維持・向上を基盤として、お客様のシステムやデータなどの情報資産ならびに当社の経営資源としての情報資産をあらゆる脅威から保護し、開発・運用していくことが必要です。よって、情報セキュリティに関して意思統一を図り、情報セキュリティ（ISMS）基本方針を定めています。

目次 Show

1.制定の目的
2.適用範囲
3.情報セキュリティ（ISMS）基本方針
ISMS認証取得事業所詳細情報
情報セキュリティの宣言
ISMSの適用範囲は？
ISMSの情報セキュリティ目的は？
ISMSの構築手順は？
ISMS トップマネジメント誰？

2.適用範囲

本基本方針は、NTTデータ四国ISMS体制図におけるISMS適用範囲の役員、社員および協働者に対して適用します。

3.情報セキュリティ（ISMS）基本方針

（1）当社は過失または故意による漏洩、盗難（または紛失）、改ざん、破壊などの脅威からお客様のデータならびに当社の経営資源としてのシステムやデータなどの情報資産を適切に保護します。
（2）当社はセキュリティ上の事故が発生した場合には、原因究明、対策を迅速に実施し、影響を最小限とするよう努めます。
（3）当社は、本「情報セキュリティ基本方針」の下に、情報セキュリティに関する各規定・手順書類を定め、役員、社員および協働者に教育、啓発を行うとともに、遵守の徹底をはかります。
（4）当社は事業に関する法令やガイドラインおよび、契約上の要求事項ならびに、その他の関連規範を遵守します。
（5）当社は以上の活動を継続的に改善するために、情報セキュリティ目標を立案し、実施するための情報セキュリティ管理体制を確立し維持します。

2022年6月14日
株式会社NTTデータ四国
代表取締役社長三木隆弘

ISMS認証取得事業所詳細情報

会社名	株式会社NTTデータ四国
認定機関	一般財団法人　日本情報経済社会推進協会（JIPDEC）
審査機関	一般財団法人　日本品質保証機構（JQA）
登録事業者	株式会社NTTデータ四国　愛媛県松山市三番町４－９－６
登録活動範囲	・顧客要求仕様に基づくソフトウェア設計・開発、保守及び運用支援、営業業務・セキュリティトークン配送業務・グローバル資金管理中継ＧＷサービス運用保守業務・ｅＢＭ（エレクトロニックバンキング）運用保守部門ニアショア業務適用宣言書（５版）
関連事業所	・愛媛営業所愛媛県松山市山越３－１５－１５ [活動範囲：同上] ・香川営業所香川県高松市亀井町７－１５・徳島営業所徳島県徳島市中昭和町１－３・高知営業所高知県高知市本町４－２－３１ [活動範囲：顧客要求仕様に基づくソフトウェアの設計・開発、保守及び運用支援、営業業務]
認証規格	ISO/IEC 27001：2013 ／ JIS Q　27001：2014
認証登録番号	JQA-IM0345
初回登録日	2006年5月12日
登録更新日	2021年5月12日
改訂日	2021年3月5日
有効期限日	2024年5月11日

1 目的

お客様から信頼される情報流通企業として、お客様情報はもとより会社の機密・重要情報のセキュリティに関するインシデントの防止を図ることにより、お客様の信頼確保及び事業損失を最小限に留めることを目的とする。

今まで個人情報保護に関して、JIPDECによる「Pマーク認証」に準拠し、運用に努めてきたが、今般、全社に係わる全ての情報資産セキュリティ―保護を万全にするため、情報セキュリティマネジメントシステム（以下、ＩＳＭＳ）を構築する。

2 情報セキュリティの定義

情報セキュリティとは、機密性、完全性及び可用性を確保し維持することをいう。

(1)機密性：許可されていない個人、エンティティ（団体等）又はプロセスに対して、情報を使用不可又は、非公開にする特性。
（情報を漏えいや不正アクセスから保護すること。）

(2)完全性：資産の正確さ及び完全さを保護する特性（情報の改ざんや間違いから保護すること。）

(3)可用性：認可されたエンティティ（団体等）が要求したときに、アクセス及び使用が可能である特性。
（情報の紛失・破損やシステムの停止などから保護すること。）

3 適用範囲

【組織】：株式会社エステイエス

【施設】：本社

【業務】：ソフトウエア製品の保守サポート、及びシステムの開発から運用に関する技術サポートの提供

【資産】：上記業務、サービスにかかわる書類、データ、等

【ネットワーク】：全社ネットワーク

【対象者】：上記業務に係る全社員。但し、顧客先常駐にて業務を遂行する者は、顧客企業の内部統制・情報セキュリティルールに従うことが必須の為、対象外とする

4 実施事項

(1)適用範囲の全ての情報資産を脅威（漏えい、不正アクセス、改ざん、紛失・破損）から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善するものとする。

(2)情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守するものとする。

(3)重大な障害または災害から事業活動が中断しないように、予防及び回復手順を策定し、定期的な見直しをするものとする。

(4)情報セキュリティの教育・訓練を適用範囲すべての社員に対して定期的に実施するものとする。

5 責任と義務及び罰則

(1)情報セキュリティの責任は、代表取締役が負う。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供するものとする。

(2)適用範囲のスタッフは、お客さま情報を守る義務があるものとする。

(3)適用範囲のスタッフは、本方針を維持するため策定された手順に従わなければならないものとする。

(4)適用範囲のスタッフは、情報セキュリティに対する事故及び弱点を報告する責任を有するものとする。

(5)適用範囲のスタッフが、お客さま情報に限らず取り扱う情報資産の保護を危うくする行為を行なった場合は、社員就業規則に従い処分を行なうものとする。

日付平成２７年１１月２４日
役職代表取締役社長
署名齋藤圭二

情報セキュリティの宣言

当社は、情報セキュリティに関して、以下の方針に基づき取組を行い、役員および全従業員に周知・遵守するとともに、「情報セキュリティマネジメントシステム」を確立し、社会の一員としての責務を果たしていく。

１．情報セキュリティ保護への取組

当社は、「企業の命ともいえる“情報資産“を保護することは、企業の最重要課題である」との認識に立ち、全社をあげて情報セキュリティ保護の取組を確実に行います。

２．情報セキュリティマネジメント・プログラム

当社は、情報資産保護を「情報セキュリティマネジメントシステム」として確立・徹底させるため、情報セキュリティマネジメント・プログラムを策定し、これを実施し、継続的に維持・改善します。
※当社は、ISO 27001の認証を取得しています。

ISO 27001の「情報セキュリティ基本方針書」をご覧なりたい方は、こちらまで。

３．情報資産の保護施策

当社は、ソフトウエアの開発サービス、保守サポートサービスおよび各種システムの運営サービスを提供していることを踏まえ、“情報資産”に関するあらゆる脅威について、「機密性・完全性・可用性」の観点から確実に保護します。

４．法令等の遵守

当社は、当社が構築した情報セキュリティシステムを、関連する法令、規格その他の規範に準拠・適合させるとともに、役員・全従業員および関係する協力会社に、これを遵守させます。

５．教育訓練

当社は、情報セキュリティシステムを確実の維持・運営するため、役員・全従業員および関係する協力会社に対して、情報セキュリティに関する意識の向上ならびに教育・訓練を継続的に行います。

６．事故発生予防とその対応

当社は、情報セキュリティ事故の発生予防に努めるとともに、万一、事故が発生した場合は、適切かつ迅速な対応策を講じ、被害の最終化を図ります。また、再発防止策を徹底することにより予防を図ります。

平成２７年４月１日
代表取締役社長齋藤圭二

※「個人情報保護方針について」はこちらまで

お客様の最大のニーズである、品質、コスト、納期を常に考えており、そのニーズに応えることが、顧客満足を高めることになります。

当社がお客様の信頼を保持していけるようなサービスを継続的に提供していくためには、適切なプロジェクトマネジメントが必要であり、プロジェクトマネジメントを適切に行う為の一環として、情報セキュリティマネジメントシステム（ＩＳＭＳ）を導入します。

情報セキュリティマネジメントシステム（ＩＳＭＳ）の導入にあたっては、情報資産に対して適切な安全対策を実施し、物理的、技術的なセキュリティ強化に努めること、従業員が情報セキュリティに対して高い意識をもち、情報セキュリティを尊重した行動をとることが重要になります。

ここに「情報セキュリティ基本方針」を定め、当社が保有する情報資産の適切な保護対策を実施するための指針とします。経営陣を含む全ての従業員は、本趣旨を理解し、当社の情報セキュリティ諸規定の内容を熟知し、遵守します。

ISMS登録 ISR005 JUSE-IR-102

ISMSの適用範囲は？

ＩＳＭＳの「適用範囲」は、全社一括でなくても、施設や事業の単位で設定できます。事業継続上、保護しなければならない重要な情報は何かを考慮し、効果的な情報セキュリティの観点から範囲を決定します。

ISMSの情報セキュリティ目的は？

この情報セキュリティの目的は、組織のリーダーによって決定をする必要があり、 ISMS で重要となる「機密性」「完全性」「可用性」の三要素の中からリスクが高いと判断できるものを目的として掲げることで、本業と一本化した仕組みとして運用することができます。

ISMSの構築手順は？

ISMS認証取得の流れ.

STEP1：適用範囲を決める.

STEP2：情報セキュリティポリシーの決定.

STEP3：体制の確立.

STEP4：ISMS文書の作成.

STEP5：リスクアセスメントの実施.

STEP6：従業員教育.

STEP7：内部監査.

STEP8：マネジメントレビュー（経営陣レビュー）.

ISMS トップマネジメント誰？

「トップマネジメント」を担当するのは、会社の社長やISMS取得範囲の事業部長である場合が一般的ですが、やはり多くは社長が担う傾向にあります。

ISMS