情報セキュリティ基本方針
株式会社リードコナン(以下、「弊社」という)は、「ISO/IEC27001の要求事項」に従い、「情報セキュリティ基本方針」を定め社員に周知すると共に外部関係者に公表いたします。
V.1.0
制定日:2005年11月01日
株式会社リードコナン
代表取締役 伊東 晃郎
- 1.目的
- この情報セキュリティ方針(以下、基本方針)は、弊社における情報セキュリティマネジメントシステム(以下、ISMS)構築・運用にあたっての基本的な方針をあきらかにしたものである。今後は、この基本方針をISMSの拠り所として位置付ける。
- 2.基本声明
- パソコンの普及とネットワーク化の進展によってすべての業務が情報システムに依存する状況になった。インターネットの普及もあいまってコンピュータは、社会・経済生活から一般の家庭生活のなかにまで深く浸透し、誰もが操作できる環境になった。
まさにインターネット環境がビジネス活動のインフラとなり、eビジネスやBtoB、BtoCなどでの取引が日常的になったいま、インターネットの利便性を享受する一方、脅威やリスクから社内の情報資産を守る事が必須になっている。
弊社は、情報セキュリティポリシーに基づくさまざまな管理策の定着確認・改善・監視などを徹底することによって、IT企業としての社会的責任を果さなければ成らない。
実際、コンピュータウィルスの感染や不正アクセスは、誰がいつ被害を受けても不思議ではない状況にある。
ネットワークを介しての個人情報の漏洩やホームページの改ざん、情報の盗難などへの対処も保護する設備や対策を整え管理するためのルールを作成し社員一丸となってお客様へのニーズに応える事を宣誓する。 - 3.情報セキュリティの定義
- 情報セキュリティとは、機密性・完全性・可用性を保護し維持することをいう。場合によっては、真正性、責任追跡性、否認防止及び信頼性のような特性を含むものとする。
| 機密性 | 許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性 |
|---|---|
| 完全性 | 資産の正確さ及び完全さを保護する特性 |
| 可用性 | 許可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性 |
| 真正性 | 主体又は資源が要求されているものと同一であること |
| 責任追跡性 | エンティティ(団体等)の動作が、一意に追跡できること |
| 否認防止 | 活動又は事象が起きたことを、後になって否認されないように証明する能力 |
| 信頼性 | 意図とした動作及び結果に一致する特性 |
- 4.情報セキュリティの目的
- 弊社のISMS適用範囲の業務は、地方自治体向け税業務管理運用支援ソフトウェア「税務LAN」をはじめ、各種業務ソフトウェア、システムの企画・設計・開発・導入及び運用保守である。 これらの業務に おいて、主管部門である開発部門における情報セキュリティの最大の目的は、弊社の業務目的を達成する上で最大限に注意を払うべき重要な情報及びそれに伴う情報資産を保護することである。
我々はこの情報に対して法律・規制若しくは外部関係機関や顧客からのどのような条件を示されているかを認識し遵守するとともに、その内容がお互いの業務 の目的にとって不十分である場合には適切な提言をおこない、互いの信頼関係を確固たるものとし、互いの繁栄を達成するように努めなければならない。 - 5.コンプライアンス
- 弊社の事業に関わる法令、情報セキュリティに関する各種規制を遵守することは情報セキュリティの第一歩である。また、お客様との契約についても、その重 要性を認識し遵守することがお客様の信頼を勝ち得るために非常に重要である。これらを踏まえ、我々は以下について遵守するよう努めなければならない。
- 情報セキュリティに関連する契約条件を遵守すること
- 就業規則等を遵守すること
- ISMSで規定した規則を遵守すること
- 弊社の業務に関わる法律、規制、ガイドラインを遵守すること
- 6.社員の責務と義務
- 基本方針に基づくISMSの確立、運用、維持、改善は、情報セキュリティ統括責任者(以下、CISO)を社長とし、情報セキュリティ委員会によってすべての情報セキュリティ関連の活動を統制する。
CISOは、情報セキュリティ委員会の活動に対し定期的なチェックを行う。
CISOは、適切な基準及び実施手順に基づき基本方針の実施を促進する。社員及び弊社で仕事に従事するものはすべて(社員等)、基本方針を維持するために策定された手順に従わなければならない。また、社員等は、事故及び特定された弱点をCISOに報告する責任を要する。 - 7.リスク評価方針
- 基本方針に基づき、弊社の状況に適したリスクアセスメントの方法を決定し、これを首尾一貫して適用することにより、リスクの実態や変化が明らかになる。 リスクアセスメントの方法は資産価値、脅威及び脆弱性についてその相対的な重みを明らかにし、管理策の内容及び程度を決定することに通じるものとする。
- 8.運用方法
- 基本方針の運用は運用手順に従い、定期的に内部監査を行い基本方針が遵守されているか確認する。
- 9.罰則
- 基本方針の運用は運用手順に従い、定期的に内部監査を行い基本方針が遵守されているか確認する。
- 10.レビュー
-
- CISOは本基本方針を作成し、レビューを行う。
- 弊社は、定期的(年1回)または組織環境、業務環境、法的状況、技術環境変化など必要が生じた場合に、CISOを議長として情報セキュリティメンバーを会してマネジメントシステムのレビューを行う。 その際、本基本方針の適切、妥当及び有効であるかレビューも行う。
- 基本方針、規程類のレビューが行われた場合には、それらの適切、妥当及び有効であることを確実にする
