ISO / IEC 27001 取得
当社は、情報セキュリティ基本方針に基づき、ISMSの維持・改善を続けると同時に、継続的に社員への教育を行い、情報セキュリティへの取り組みをさらに強化し、お客様からいっそう信頼される企業を目指してまいります。
2010年10月 ISO 27001取得
登録情報
登録証番号 | IS072 |
---|---|
登録範囲 | 本社 , 佐賀事業所 (システム開発の受託業務) |
情報セキュリティ目標
本年は、急速に進展するモバイル化、クラウド化に対応しつつ情報セキュリティを確保するため、以下の目標を掲げます。
1.モバイル端末のセキュリティ強化
スマートフォンやタブレット端末など、モバイル環境の急速な進展に対応し、外部利用においても十分な情報セキュリティが確保できる環境構築をします
2.個人端末のセキュリティ意識向上
個人で利用しているスマートフォンやタブレット端末が、企業活動のセキュリティホールとならないよう、社員へ教育を実施し、日ごろからのセキュリティ意識の向上を目指します。
情報セキュリティ基本方針
1.情報セキュリティ基本方針
当社の業務活動で取扱う顧客情報や社内情報は、極めて機密性の高いものである。
顧客等のステークホルダーの信頼を確保し、事業を発展的に継続する事が望まれる。
情報セキュリティの確立を、社会的責任であると強く認識し、重要且つ継続的な課題として取り組むこととする。
情報漏洩及び不正利用等のセキュリティ事故の発生防止及び法令順守を、社の重要な情報戦略の一つとして位置づけ、経営陣及び対象者全員がこの情報セキュリティ基本方針に則り業務に取組むものとする。
2.情報セキュリティの定義
情報セキュリティとは、情報の機密性・完全性・可用性を維持することである。
3.適用範囲
ISMSの適用範囲は明確に定め文書化する。
4.管理者の任命と義務
ISMSを推進する体制として、情報セキュリティ委員会、内部監査委員会を中心とした管理体制を整備する。
5.内部監査
内部監査委員会は、情報セキュリティ基本方針及びISMSが遵守されていることを内部監査により定期的に検査する。
6.セキュリティ対策
当社は取り扱う情報に応じて、最適な情報セキュリティ対策を講ずるものとする。
7.従業員の義務
従業員は、ISMSで定められた規則を遵守し行動する。これに違反し、重大な問題を発生させた場合には、就業規則等に基づき罰則を与えるものとする。
8.情報の特定と対策
情報セキュリティ委員会は、当社において取り扱う秘密情報や個人情報を特定し、保護のために最適な情報セキュリティ対策を講じる。
9.法令順守
当社は、事業活動に関わる法規・契約上の義務を遵守し、そのために適切な情報セキュリティ対策を実施する。
10.情報セキュリティ教育
情報セキュリティに関する教育・訓練活動は、経営陣の支持のもと、情報セキュリティ委員会で推進を図るものとする。
11.基本方針の見直し
事業活動に関する要求事項、関連法規等の変更により経営環境に影響があった場合、必要に応じて、情報セキュリティ基本方針を見直すものとする。
情報セキュリティ個別方針
モバイル化、クラウド化の進展や、個人情報のセキュリティ強化への要求の高まりなど、外部環境の変化に伴い、よりきめの細かいセキュリティ対策が必要となってきている。
情報セキュリティ基本方針と併せ、各要求事項ごとの個別方針を定めることで、情報セキュリティに対する意識の向上及び本個別方針に則り、マネジメントシステムの改善を図る。
1.モバイル機器の方針(A.6.2.1)
- 私物のモバイル機器は通話目的以外の物は持ち込み禁止
- 情報を格納し持出す際は許可・記録・暗号化を必ず実施
2.テレワーキング方針(A.6.2.2)
- 客先常駐等の場合は常駐先規則を順守
- 外部ネットワークはインターネット及び電子メールの利用を目的として接続
- 社外からDMZ、社内ネットワークへのアクセスはVPN接続を利用
3.アクセス制御方針(A.9.1.1)
- パソコンのBIOS、ログインのパスワード設定
- サーバに接続する際のアクセス方法およびアカウントの制限
4.暗号による管理策の利用方針(A.10.1.1)
- 無線LAN、WEBメール、データ入力を求めるホームページ、VPNでのデータ通信は暗号化を実施
5.暗号鍵の利用・保護及び有効期間に関する方針(A.10.1.2)
- 暗号鍵の管理方法はシステム管理部門で明文化し管理
6.クリアデスク・クリアスクリーン方針(A.11.2.9)
- パソコンは自動的にスクリーンロックが掛かるように設定
- パソコンは長時間離席する場合は、シャットダウンを実施
- 帰宅時や長時間、離席する時は書類を放置しない
7.情報のバックアップ(A.12.3.1)
- サーバ内バックアップは管理者が対象とスケジュールを定め実施
8.情報転送の方針(A.13.2.1)
- 秘密情報を電子メールやアップロードサイト等で扱う時はパスワードを掛ける
9.セキュリティに配慮した開発のための方針(A.14.2.1)
- 社内システム開発に関する基本規程を作成し、開発の際にはそれを運用
10.供給者関係のための情報セキュリティ方針(A.15.1.1)
- 供給者が当社の情報資産にアクセスできる場合は機密保持契約を締結
11.個人情報セキュリティ基本方針(A.18.1.4)
- 『個人情報の安全管理に係る基本方針』にて定める。
12.特定個人情報セキュリティ基本方針(A.18.1.4)
- 『特定個人情報等の適正な取扱いに関する基本方針』にて定める。
※()内はISO27001:2013附属書Aの管理策番号
以上
2010年6月1日制定
2023年2月10日改定
サンビット株式会社 代表取締役社長 中野 健次