1. 情報セキュリティの目的
近年の情報技術の進歩は、社会の利便性を高めると同時に、一方で情報の氾濫や情報に対する不正アクセスなどのリスクを高めています。このような状況において、当社は、情報を適切に取り扱い保護することが企業としての社会的責務であり、事業活動の基本であると考えます。
よって、当社は情報セキュリティの重要性を鑑み、当社業務に係る情報セキュリティを適切に実現および管理・運営していくことを目的とし、本方針書を設定します。
2. 情報セキュリティの定義
情報セキュリティとは、情報資産の機密性、完全性および可用性を維持することです。
1. 情報資産とは、情報と情報システムおよびこれらが適切に保護され機能するために必要なソフトウェア、ハードウェア等の総称です。
2. 機密性とは、情報資産がその参照する権限のないものに漏洩しないことです。
3. 完全性とは、情報資産が正確かつ完全に維持されることです。
4.可用性とは、情報資産が定められた方法で、必要なときに利用できることです。 なお、情報資産によっては、真正性、責任追跡性、否認防止および信頼性のような特性をも、必要に応じて維持対象とします。
3. 適用範囲
本方針書は、当社の管理する情報資産すべてに対して適用します。なお、情報の範囲は、情報システム内に存在する電子的機器にとどまらず、文書、磁気媒体、端末画面、電話・FAXなどすべての形態を含みます。また、本方針書は、当社事業所に勤務する全ての社員および協力会社社員に対して適用されます。
4. 情報セキュリティの目標
当社は、以下で示す事項を情報セキュリティの目標とします。
1. 適切な情報セキュリティ管理を実施し、情報セキュリティ事故を未然に防止し、情報セキュリティ事故の発生ゼロを目指します。
2. 万が一情報セキュリティ事故が発生した場合でも、その被害を最小限にとどめ、迅速な復旧を行い、また再発防止に努めます。
3. 情報資産の可用性を確保し、必要な情報が必要なときに利用できるようにします。
5. 情報セキュリティの組織体制
1. 当社は、情報セキュリティに関する問題を検討し意思決定を行う最上位機関として、情報セキュリティ委員会(執行役員会が兼務)を設置します。
2. 当社は、情報セキュリティに関する会社の責任者として、情報セキュリティ統括責任者を設置します。
3. 当社は、情報セキュリティの実現および管理・運営が適切に行われていることを監査するための責任者として、情報セキュリティ監査責任者を設置します。
6. 情報セキュリティの基本方針
1.当社は、情報資産に対する権限を与える際、業務上必要な者にのみ必要な権限を与えます。
2.当社は、情報資産を次の通り管理します。
・ 情報資産を法令,契約および当社の定める規定に従って管理します。
・ 情報資産をその重要性に応じて適切に分類し管理します。
3.当社は、情報資産が適切に管理されていることを継続的に監視します。
4.当社は、情報資産を職場から持出さないことを原則として運用します。
5.当社は、情報資産を私有の情報機器で取扱うことを禁止します。
6.当社は、情報セキュリティに関連する事故が発生した場合、次のことを確実に実施します。
・ 発見者はルールに従い、速やかに情報セキュリティ統括責任者にその内容を報告します。
・ 事業の中断を最小限に抑え、事業の継続性を確保することに努めます。
・ 情報セキュリティに関連する事故原因を分析し、必要に応じて再発防止策を講じます。
7.当社の社員および協力会社社員は、情報セキュリティ教育を定期的に受講します。
8.当社の社員および協力会社社員は、情報セキュリティに関する法令,契約および当社の定める規定などの要求事項を遵守します。
9.当社は、事業活動全般およびリスク全般を考慮し、情報セキュリティの取組みを継続的に改善します。
7. 周知
本方針書は、すべての役員,社員および協力会社社員に対して周知徹底します。
8. 罰則
本方針書および情報セキュリティに関連する規定に違反する行為を行った社員は、その程度に応じて、就業規則に定めるところにより懲戒を受ける場合があります。協力会社社員については、契約違反の対象とします。
9. 維持・管理
当社は、本方針書を年度末または必要に応じてレビューし、維持・管理します。
2018年 9月20日
株式会社CIJ
代表取締役社長 坂元 昭彦