1.制定の目的当社は、システムライフサイクルの全ての側面で、お客様とのパートナーシップの形成を目指して、品質、生産性、技術面において常に高いレベルのサービス提供を経営方針として活動しています。経営方針実現には、情報セキュリティ・レベルの確保と維持・向上を基盤として、お客様のシステムやデータなどの情報資産ならびに当社の経営資源としての情報資産をあらゆる脅威から保護し、開発・運用していくことが必要です。よって、情報セキュリティに関して意思統一を図り、情報セキュリティ(ISMS)基本方針を定めています。 Show 2.適用範囲本基本方針は、NTTデータ四国ISMS体制図におけるISMS適用範囲の役員、社員および協働者に対して適用します。 3.情報セキュリティ(ISMS)基本方針
2022年6月14日 ISMS認証取得事業所詳細情報
1 目的お客様から信頼される情報流通企業として、お客様情報はもとより会社の機密・重要情報のセキュリティに関するインシデントの防止を図ることにより、お客様の信頼確保及び事業損失を最小限に留めることを目的とする。 今まで個人情報保護に関して、JIPDECによる「Pマーク認証」に準拠し、運用に努めてきたが、今般、全社に係わる全ての情報資産セキュリティ―保護を万全にするため、情報セキュリティマネジメントシステム(以下、ISMS)を構築する。 2 情報セキュリティの定義情報セキュリティとは、機密性、完全性及び可用性を確保し維持することをいう。 (1)機密性:許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は、非公開にする特性。 (2)完全性:資産の正確さ及び完全さを保護する特性(情報の改ざんや間違いから保護すること。) (3)可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 3 適用範囲【組織】:株式会社エステイエス 【施設】:本社 【業務】:ソフトウエア製品の保守サポート、及びシステムの開発から運用に関する技術サポートの提供 【資産】:上記業務、サービスにかかわる書類、データ、等 【ネットワーク】:全社ネットワーク 【対象者】:上記業務に係る全社員。但し、顧客先常駐にて業務を遂行する者は、顧客企業の内部統制・情報セキュリティルールに従うことが必須の為、対象外とする 4 実施事項(1)適用範囲の全ての情報資産を脅威(漏えい、不正アクセス、改ざん、紛失・破損)から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善するものとする。 (2)情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守するものとする。 (3)重大な障害または災害から事業活動が中断しないように、予防及び回復手順を策定し、定期的な見直しをするものとする。 (4)情報セキュリティの教育・訓練を適用範囲すべての社員に対して定期的に実施するものとする。 5 責任と義務及び罰則(1)情報セキュリティの責任は、代表取締役が負う。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供するものとする。 (2)適用範囲のスタッフは、お客さま情報を守る義務があるものとする。 (3)適用範囲のスタッフは、本方針を維持するため策定された手順に従わなければならないものとする。 (4)適用範囲のスタッフは、情報セキュリティに対する事故及び弱点を報告する責任を有するものとする。 (5)適用範囲のスタッフが、お客さま情報に限らず取り扱う情報資産の保護を危うくする行為を行なった場合は、社員就業規則に従い処分を行なうものとする。 日付 平成 27年 11月24日 情報セキュリティの宣言当社は、情報セキュリティに関して、以下の方針に基づき取組を行い、役員および全従業員に周知・遵守するとともに、「情報セキュリティマネジメントシステム」を確立し、社会の一員としての責務を果たしていく。 1.情報セキュリティ保護への取組当社は、「企業の命ともいえる“情報資産“を保護することは、企業の最重要課題である」との認識に立ち、全社をあげて情報セキュリティ保護の取組を確実に行います。 2.情報セキュリティマネジメント・プログラム当社は、情報資産保護を「情報セキュリティマネジメントシステム」として確立・徹底させるため、情報セキュリティマネジメント・プログラムを策定し、これを実施し、継続的に維持・改善します。 ISO 27001の「情報セキュリティ基本方針書」をご覧なりたい方は、こちらまで。 3.情報資産の保護施策当社は、ソフトウエアの開発サービス、保守サポートサービスおよび各種システムの運営サービスを提供していることを踏まえ、“情報資産”に関するあらゆる脅威について、「機密性・完全性・可用性」の観点から確実に保護します。 4.法令等の遵守当社は、当社が構築した情報セキュリティシステムを、関連する法令、規格その他の規範に準拠・適合させるとともに、役員・全従業員および関係する協力会社に、これを遵守させます。 5.教育訓練当社は、情報セキュリティシステムを確実の維持・運営するため、役員・全従業員および関係する協力会社に対して、情報セキュリティに関する意識の向上ならびに教育・訓練を継続的に行います。 6.事故発生予防とその対応当社は、情報セキュリティ事故の発生予防に努めるとともに、万一、事故が発生した場合は、適切かつ迅速な対応策を講じ、被害の最終化を図ります。また、再発防止策を徹底することにより予防を図ります。 平成27年4月1日 ※「個人情報保護方針について」はこちらまで お客様の最大のニーズである、品質、コスト、納期を常に考えており、そのニーズに応えることが、顧客満足を高めることになります。 当社がお客様の信頼を保持していけるようなサービスを継続的に提供していくためには、適切なプロジェクトマネジメントが必要であり、プロジェクトマネジメントを適切に行う為の一環として、情報セキュリティマネジメントシステム(ISMS)を導入します。 情報セキュリティマネジメントシステム(ISMS)の導入にあたっては、情報資産に対して適切な安全対策を実施し、物理的、技術的なセキュリティ強化に努めること、従業員が情報セキュリティに対して高い意識をもち、情報セキュリティを尊重した行動をとることが重要になります。 ここに「情報セキュリティ基本方針」を定め、当社が保有する情報資産の適切な保護対策を実施するための指針とします。経営陣を含む全ての従業員は、本趣旨を理解し、当社の情報セキュリティ諸規定の内容を熟知し、遵守します。 ISMS登録 ISR005 JUSE-IR-102 ISMSの適用範囲は?ISMSの「適用範囲」は、全社一括でなくても、施設や事業の単位で設定できます。 事業継続上、保護しなければならない重要な情報は何かを考慮し、効果的な情報セキュリティの観点から範囲を決定します。
ISMSの情報セキュリティ目的は?この情報セキュリティの目的は、組織のリーダーによって決定をする必要があり、 ISMS で重要となる「 機密性 」「 完全性 」「 可用性 」の三要素の中からリスクが高いと判断できるものを目的として掲げることで、本業と一本化した仕組みとして運用することができます。
ISMSの構築手順は?ISMS認証取得の流れ. STEP1:適用範囲を決める. STEP2:情報セキュリティポリシーの決定. STEP3:体制の確立. STEP4:ISMS文書の作成. STEP5:リスクアセスメントの実施. STEP6:従業員教育. STEP7:内部監査. STEP8:マネジメントレビュー(経営陣レビュー). ISMS トップマネジメント 誰?「トップマネジメント」を担当するのは、会社の社長やISMS取得範囲の事業部長である場合が一般的ですが、やはり多くは社長が担う傾向にあります。
|