1.目的
基本方針は、株式会社アイ・シー・アイ(以下「当社」という)において、当社が保有、活用する情報資産の情報セキュリティを確保する為に、ISO/IEC 27001:2013 に準拠したマネジメントシステムであるISMSの全般的な目的及び適用範囲、並びに情報活用を推進する為の基盤としての情報セキュリティの重要性を定めること、及びISMSの継続的改善を行う重要な枠組みの一つであるISMS目標管理について定めることを目的とする。
2.基本理念
今後、当社及び取引先の重要な情報資産の適切な保護の為、ISO/IEC 27001:2013 に準拠したマネジメントシステムであるISMSを導入・運用することにより、取引先満足度の向上及び事業の継続的発展を図る。
3.情報セキュリティ基本方針
3.1 ISMSの確立
当社は、取引先の要求、社会的な要請並びに当社の事業方針を鑑み、ISMS推進の為の組織の確立、当社の事業に関連する情報セキュリティ管理策の策定を行い、ISMSを確立するものとする。
3.2 取引先の要求
当社は、当社の事業に関連する取引先の期待に応える為、取引先からお預かりしている情報について、責任者の管理のもと、定められた規程並びに手順に従い、情報を取り扱い、取引先との情報セキュリティに関するご契約を遵守することにより、これらの情報の安全管理を確実に行うとともに、取引先向けのサービスの継続的提供に努めるものとする。
3.3 社会的要請
当社は、個人情報保護法、不正競争防止法等、情報セキュリティに関する法令、規制、及びその他の規範を遵守するものとする。
3.4 事業上の要求
当社は、当社の事業目標を達成し、取引先満足度向上の為、情報セキュリティ管理策を策定し、情報セキュリティ基盤を構築するものとする。
ISMS目標
当社は、毎年ISMS目標を設定し、情報セキュリティ基盤の確立及び継続的改善を行うものとする。
情報セキュリティ管理体制
当社は、情報セキュリティを確保・維持する為のマネジメントシステムであるISMSを確立し、維持する為、及びリスクマネジメントの為に以下の体制を構築するものとする。
ISMS委員会の設置
当社は、ISMSの有効性と適切性に関する事項の審議が行われる場として、事業部門の責任者をメンバーとするISMS委員会を設置する。
ISMS委員長の設置
当社は、ISMSを統括する最高責任者として、ISMS委員長を設置する。
情報セキュリティに関する権限と責任の明確化
当社は、文書化された規程により、情報セキュリティに関する権限と責任を明確にする。
情報セキュリティの監査
当社は、基本方針及び定められた情報セキュリティ管理策が遵守されていることを検証する為、定期的に独立した監査を実施する。
リスクアセスメントの実施
当社は、当社が保有する情報資産に対する適切なリスクコントロールを行う為、リスクを評価する為の基準を明確にし、体系的なリスクアセスメントを実施するものとする。リスクアセスメントの結果に基づき適切な情報セキュリティ管理策を策定するものとする。
情報セキュリティ管理策の実施
当社は、情報資産を漏洩・改ざん・紛失等の脅威から保護する為、リスクアセスメントの結果に基づき、適切な管理策を実施するものとする。
■物理的セキュリティ対策
・情報資産を利用
・保管するあるいは情報システムを設置する施設への不正な立入り防止
・情報資産への不正な物理的アクセスの防止
・情報資産の損傷を防ぐ為の物理的な対策他
■人的セキュリティ対策
・情報セキュリティ対策に関する権限及び責任の明確化すべての社員に対する基本方針及び情報セキュリティ管理策に関する定期的教育の実施
・部門責任者による具体的情報セキュリティ関連手順の周知徹底
■ 論理的セキュリティ対策
・情報資産に対するアクセスコントロールの徹底
・情報資産に対するネットワークを介した外部からの不正アクセスの防止
・コンピュータウィルス等の不正ソフトウェア等からの適切な保護対策の実施
・ネットワーク管理等に関する技術面の対策
・ネットワークの監視及び基本方針の遵守状況の確認等に関する運用面の対策を講ずる
■その他対策
・外部委託業者の情報セキュリティ面での管理
・外部組織との連携
情報セキュリティ事件・事件発生の予防並びに是正
当社は、万一情報セキュリティ事件・事故や違反が発生した場合には、被害や損害を最小限にくい止める為の体制を構築し、速やかに適切な是正処置を講じ、再発防止に努めるものとする。
事業継続管理の実施
当社は、重大な障害又は災害に起因する情報資産への影響を最小限にし、当社の事業活動の中断に対処するとともに、事業継続管理の為の枠組みを確立し、事業継続計画を作成、維持、試験するものとする。
3.5 基本方針の見直し
当社は、監査の結果及び当社の外部環境の変化を踏まえ、基本方針の見直しを適時実施する。
3.6 情報セキュリティ行動規範
当社の役員及び社員は、下記の行動規範を遵守すること。
(1)本基本方針を理解及び遵守し行動する。
(2)外部より入手した情報の重要性及びリスクを理解し、機密保持を確実に行う。
(3)内部情報の重要性及びリスクを理解し、情報の漏洩及び紛失を未然に防ぐ。
4.ISMS 基本方針の承認、周知、公表及び見直し
4.1 ISMS 基本方針の承認及び周知
代表取締役は、ISMS 基本方針(3 項)を承認し、役員及び従業者へ周知しなければならない。
4.2 ISMS 基本方針の公表
代表取締役は、関連する外部関係者に通知、公表しなければならない。
4.3 ISMS 基本方針の見直し
代表取締役は、ISMS 基本方針の適切性、妥当性及び有効性を継続して確保する為に、マネジメントレビュー実施時に見直すものとし、又、内部環境若しくは外部環境の重大な変化が生じたときは、代表取締役の判断で見直しを実施するものとする。
5.リスク受容水準
5.1 可能なリスク水準
当社は、ISMSに基づく、受容可能なリスク水準を[情報資産管理要領:ICI-B-02]に定めるものとする。
【受容可能なリスク水準】
当社は、資産価値の高い情報資産について、脅威、脆弱性の発生により顧客又は事業に影響を及ぼすリスクの低減を確実にする管理策を積極的に実施し、顧客又は事業に影響を及ぼさないようにし、これら管理策実施後の残留リスクの顕在化は受容する。
リスク受容水準の見直し
リスク受容水準は、ISMS委員会により年一回見直し、見直し結果について、代表取締役の承認を得るものとする。
6.情報セキュリティ文書
当社は、基本方針の実施を確実にする為の文書([ISMS文書一覧:ICI-C-01]参照)を定め、詳細な管理策並びに手順を明確にするものとする。又、必要に応じて特定の業務手順における詳細な手順書を作成し、関係する社員に周知するものとする。
7.ISMS目標
当社は、基本方針の実現を確実にする為に、毎年ISMS目標を設定し、その達成を評価するものとする。
7.1 当社目標
ISMS委員会は、毎年当社のISMS目標を設定し、ISMS委員長の承認を得るものとする。又、承認されたISMS目標は、社内に公表し周知徹底するものとする。
7.2 目標達成の評価
ISMS委員会は、毎年当社のISMS目標の達成度について、評価を実施し、その評価結果に基づき、ISMSを継続的に改善しなければならない。
付 則
1 施行年月日
この規程は、2010年 4月1日から施行する。
2 規程の制定・改廃の手続き、疑義解明
この規程の制定・改訂及び廃止、解釈または運用の疑義解明は、ISMS 委員会の承認に基づき行い、承認者は代表取締役とする。
制定日:2010年4月1日
改定日:2021年11月18日