|
株式会社 ブレインズ |
|
Information Security 〜ISMS基本方針〜 |
|
制定 平成20年10月01日 改定 平成26年10月01日
IT企業としての社会的な地位を確保し、お客さまからの信頼を一層強固なものとするため、情報システムならびにその情報システムで扱う情報などの情報資産の機密性、完全性および可用性を確保し、維持し、改善するためのISMS(情報セキュリティマネジメントシステム)基本方針を定め、ISMSを確立し、実施する。 この基本方針に基づき、ISMS適用組織におけるISMSの確立、実施および文書化に関する、ISMS規定を定める。
第1条 目的 当社の使命は当社の持つIT技術により情報化社会の維持・発展に貢献することである。当社におけるISMSの目的は、当社の事業における各種リスクから情報資産を保護することである。このために、当社の事業に関連する情報資産を洗い出し、重要度を定め、発生し得るリスクを、「リスク管理マニュアル」に定めた時期及び間隔で、ISMSの各種管理策を実施する。
第2条 運営組識 社長は、当社の情報セキュリティ管理の運営組織として情報セキュリティ委員会を設置し、その長を任命する。情報セキュリティ委員会は、経営陣が行う情報セキュリティ活動を支援する。
第3条 ISMSの確立及び運営管理 ISMS適用組織は、自組織の事業活動全般及び直面するリスクに対する考慮のもとで、文書化したISMSを確立、導入、運用、監視、レビュー、維持及び改善しなければならない。その詳細については、「ISMS規定」に定める。
第4条 管理策の実施 (1)情報処理施設や設備への不当な侵入を防ぎ、装置などの安全性を高めるため、物理的および 環境的な情報セキュリティ対策を実施する (2)情報システムやネットワーク資源を安全な方法で運用管理し、重要な情報資産へのアクセスを 管理・統制するための情報セキュリティ対策を実施する (3)情報セキュリティに必要なセキュリティ要件を明確に定義し、情報セキュリティ対策を確実に実施する (4)要員の情報セキュリティにおける職務分担を明確にし、教育・訓練により事故や誤動作などの リスクを低減する (5)セキュリティ要求事項が満たされていることを検証するために、管理策の有効性を測定する
第5条 詳細の管理策 詳細の管理策は、ISMS認証基準:JIS Q 27001「附属書A」に基づき実施する。その詳細については「ISMS規定」に定める。
第6条 法令等への準拠 役員、社員および他の要員はISMSを有効に機能させるため、情報セキュリティに関連する法令、規制もしくはガイドライン、契約上のセキュリティ義務ならびに社内規定等を遵守する。 なお、重大な違反があった場合は、職員に対しては就業規則に基づく処分を行い、他の要員に対しては契約に基づく処置をとる。
第7条 情報セキュリティインシデントの管理 情報セキュリティインシデントに対する迅速、効果的で整然とした対策を実施するために、責任体制及び手順を「セキュリティ事故対応マニュアル」ならびに「セキュリティ監査マニュアル」に定める。
第8条 監査 「ISMS基本方針」および「ISMS規定」に基づく業務の運用状況を定期的かつ計画的に確認するため、ISMSを確立し、実施する組織では、内部監査人を選任し、少なくとも年1回(毎年度第W四半期に実施)以上、内部監査を実施する。 また、内部監査の結果に基づき、情報セキュリティ委員会は業務の運用および情報セキュリティの改善を行う。
第9条 「ISMS基本方針」および「ISMS規定」の見直し 情報セキュリティ委員会は、「ISMS基本方針」ならびに「ISMS規定」を定期的に見直し、その妥当性を確認するとともに、必要に応じて社長の決裁を得て改善を図り、ISMSを継続的に改善する。
第10条 適用範囲 ISMSを確立し、実施する組織の範囲については、社長が定める。
付 則 ISMS適用範囲におけるISMS実施責任者を定める。 ISMS実施責任者を複数名選任できるものとする。複数選任する場合は最上位の責任者を特定する。 ISMS実施責任者は、ISMS活動状況を定期的に社長に報告する。 ISMS経営陣は、組織のISMSが適切で、妥当で、かつ有効であることを確実にするために、 毎年度第W四半期にISMSマネジメントレビューを実施する。
株式会社 ブレインズ 代表取締役 中川 泉
|
