ISMSの取組み
情報セキュリティ基本方針について
当社のISMSの取り組みについて、適用範囲および情報セキュリティ方針を以下の内容として定め、ISMSの適用と維持運用及びその改善を図ってまいります。
本社における“インターネットによるクラウド・ASP・VAN等のサービス提供におけるシステム機器環境の維持管理及び監視対応業務”
適用範囲
「本社における“インターネットによるクラウド・ASP・VAN等のサービス提供におけるシステム機器環境の維持管理及び監視対応業務”」
情報セキュリティ基本方針書 <最終改定日2010年12月1日>
当社が提供するサービスについて顧客の信頼を得るために、提供するサービスの情報セキュリティにおける品質の維持及び改善と向上を目指すものとする。
そのためには、本社における“インターネットによるクラウド・ASP・VAN等のサービス提供におけるシステム機器環境の維持管理及び監視対応業務”を適用範囲とし、提供するサービスに関わる情報資産に対して適切なセキュリティ対策を実施し、紛失・盗難・破壊・不正使用から保護する対策を講じる必要がある。これを実現するために、ここに「情報セキュリティ基本方針」を定め、適用範囲における情報資産の適切な保護対策を実施する。
経営陣を含む関係者全員は、本趣旨を理解し、当社のセキュリティマネージメントシステムを熟知し、遵守しなければならない。
- 情報セキュリティに関する役割と責任を定め、これを組織的に運用管理する体制を確立する。
- 全ての情報資産やその取り扱いについては、関係法令や契約事項を遵守し、提供するサービスにおいて保有する顧客よりの情報は約定の目的にのみ使用する。
- 不正侵入、不正操作、コンピュータウイルスによる感染やその他の不正アクセス等の脅威から情報資産を守る処置を講ずる。
- 情報セキュリティに関する対策の実施の完全性を高めるために、情報セキュリティフォーラムを設け、管理と継続的な改善を図るための規定を定め、関係者全員で遵守を行う。
- 情報資産に対する脅威と脆弱性を識別し、判明したリスクを経営上の判断基準によりリスク対応を評価する仕組みを確立し、更に定期的なアセスメントを行う。
- 業務運用については、その重要性を認識し、経営資源の確保や割り当ての優先度を考慮し、関係者全員への遵守と改善に必要な教育や普及活動を継続的に行う。
- 情報セキュリティに関する内部監査を定期的に実施し、遵守状況の評価を行う。また、是正策等の取組による実効性追及と信頼性向上を図り事業継続のための活動を行う。
- 情報セキュリティ基本方針並びに法令規範や内部規程に反する行為があった場合は、あらかじめ定められた処罰や契約内容に準じて対処を行う。
公共団体、自治体、文教分野向けのシステムの開発、導入、保守業務
適用範囲
公共団体、自治体、文教分野向けのシステムの開発、導入、保守業務
情報セキュリティ基本方針書 <最終改定日2022年3月1日>
当社は、お客様からお預かりした情報をはじめとする情報資産を保護・管理することが、お客様からの信頼を得るための重要な経営課題であると認識のもと、公共団体、自治体、文教分野向けのシステムの開発、導入、保守業務を適用範囲とし、提供するサービスに関わる情報資産に対して適切なセキュリティ対策を実施し、紛失・盗難・破壊・不正使用から保護する対策を講じるものとする。
これを実現するために、ここに「情報セキュリティ基本方針」を定め、適用範囲における情報資産の適切な保護対策を実施する。
経営陣を含む関係者全員は、本趣旨を理解し、当社のセキュリティマネージメントシステムを熟知し、遵守しなければならない。
- 情報セキュリティに関する役割と責任を定め、これを組織的に運用管理する体制を確立する。
- 全ての情報資産やその取り扱いについては、関係法令や契約事項を遵守し、提供するサービスにおいて保有する顧客よりの情報は約定の目的にのみ使用する。
- 不正侵入、不正操作、コンピュータウイルスによる感染やその他の不正アクセス等の脅威から情報資産を守る処置を講ずる。
- 情報セキュリティに関する対策の実施の完全性を高めるために、情報セキュリティフォーラムを設け、管理と継続的な改善を図るための規定を定め、関係者全員で遵守を行う。
- 情報資産に対する脅威と脆弱性を識別し、判明したリスクを経営上の判断基準によりリスク対応を評価する仕組みを確立し、更に定期的なアセスメントを行う。
- 業務運用については、その重要性を認識し、経営資源の確保や割り当ての優先度を考慮し、関係者全員への遵守と改善に必要な教育や普及活動を継続的に行う。
- 情報セキュリティに関する内部監査を定期的に実施し、遵守状況の評価を行う。また、是正策等の取組による実効性追及と信頼性向上を図り事業継続のための活動を行う。
- 情報セキュリティ基本方針並びに法令規範や内部規程に反する行為があった場合は、あらかじめ定められた処罰や契約内容に準じて対処を行う。