ISMS基本方針
▼
▼
▼
▼
▼
株式会社ジェイ・エス・エス(以下「当社」という。)は、クラウドソリューション、パッケージシステムの開発・販売・保守、PC機器の販売、ネットワークの設計・構築を行う会社として、業務上取扱う情報の機密性、完全性、可用性を確保し、維持することは、社会的な責任であると認識しています。
当社は、法令や契約事項、その他の規範及び国際標準のガイドラインを遵守しつつ、適切かつ安全に情報資産を取扱うことにより、経営戦略に沿った情報セキュリティを実現すると同時に、当社の情報セキュリティに対するお客様及びその他関係者の皆様の要望と信頼にお応えします。
情報セキュリティ目的
当社は、ビジネスの継続的な発展とお客様からの信頼に応えるため、お客様から委託され取扱う情報、当社が取得した個人情報及び当社が保有する情報の「漏えい、不正アクセス、不正利用、消失、き損を防止する」ことを目的に、情報セキュリティマネジメントシステム(ISMS)を構築し、運用します。
行動指針
- 情報セキュリティに関する法令、契約事項、その他の規範及び国際標準のガイドライン並びにお客様からの要求を遵守します。
- ISMS基本方針の主旨を理解し、情報セキュリティに関する諸規則を遵守します。
- 守るべき情報のリスクを評価し、リスクを特定して適切な対策を行います。
- 情報セキュリティ推進のため、ISMS責任者及びISMS事務局を設置します。ISMS責任者は、全従業者に対して継続的に必要な教育訓練を行い、情報セキュリティ意識の向上及び情報セキュリティ対策の周知徹底を図ります。
- 情報セキュリティに関わる事故が発生した場合に、お客様及び当社業務への影響を最小限とするために、早期復旧と原因究明、再発防止のための手順を確立します。
- 情報セキュリティの維持・向上並びに新たな脅威に対応するため、定期的に及び適宜ISMSを見直し、改善します。
情報セキュリティ方針群
1.アクセス制御方針
情報に対するアクセス制御は、責任者を定めてグループごとに行う。また、必要に応じて、利用者ごとにアクセスを制御します。
情報資産は「関係者外秘密」「社内一般」「公開」に機密レベルを分類し、各々アクセス方法や管理方法を設定します。
業務に関するデータが保存されているオンラインストレージへのアクセスへはパスワード以外の要素を認証に用いることで機密性を確保します。
2.情報機器管理方針
長期の離席時には自身の机の上に放置せず、原則として所定の施錠できる場所に重要情報を保管します。パスワードロック付きスクリーンセーバーを設定します。短時間の離席時であっても、極秘情報を使用している場合は盗み見を防止するため、スクリーンロックをかけます。また、定期的に作業場所の整理整頓を実施し、思わぬ情報漏えいの危険を排除します。
3.情報機器の利用・廃棄方針
会社から情報機器を貸与され、利用する際には、申請を行い、社内利用中資産として管理します。従業員が私物の機器を業務で利用する際にはソフトウェアの最新化やパスワード設定規定、セキュリティソフトを導入した上でBYOD申請を行い、承認された場合のみ利用可能とします。
4.情報保管・バックアップ方針
情報の保管は、外部メディアやオンプレミスのファイルサーバには保存せず、クラウドストレージにのみ保存します。バックアップは当該クラウドストレージサービスのファイル履歴保管機能にて代替します。
5.情報移送方針
情報移送を行う際には事前に上長の承認を得た上で、既定の申請書にて承認を受けた場合にのみ移送可能とします。
移送に電子メールを使用する場合には、ダウンロード用URLを付与した本文を送付し、データ自体の添付は行わないこととします。
6.供給者関係のための情報セキュリティ方針
委託先およびサービス提供者が、当協会の情報資産を利用したり、アクセスしたりする場合には、当協会のISMS要求事項に従うこと等について合意し、秘密保持契約書などを締結します。
7.セキュリティに配慮した開発のための方針
セキュリティに配慮した開発(セキュア開発)の推進を行います。
プロジェクトごとの判断としますが開発環境、試験環境および運用環境は許可されていないアクセスまたは変更によるリスク低減のために分離します。