1.目的
この文書は、NEXTシステムズ株式会社(以下、当社)の「情報セキュリティマネジメントシステム(以下、ISMS)」を構築するにあたっての基本的な方針を明らかにしたものである。
2. 経営方針としての情報セキュリティ
当社は、「私たちは、ITの恩恵を誰もが享受できる次世代の社会システムづくりに貢献します」とした、当社理念に基づき、
・ITプラットフォーム構築/ITシステム運用管理サービス
・ WEBデザインサービス
・ システム開発支援サービス
を提供している。
誠実なる組織として、倫理観・道徳観そして強い責任感をもって、これらのサービスを継続して提供することが当社の社会的な使命であり、企業理念実現への道と考える。
当社が保有する情報資産を保護することを目的とし、ISMSを構築、維持運用する。
ISMS構築に当たり情報セキュリティ基本方針(以下、基本方針)を本文書にて明らかにし、今後本文書を情報セキュリティの拠り所として位置づける。
この基本方針の趣旨は、内部的であるか外部的であるか、故意であるか偶発的であるかを問わないすべての脅威から、当社が保有する情報資産を保護することにある。
尚、この基本方針を当社のホームページに掲載し、広く周知をはかる。
3. 適用規格
当社のISMSは、JIS Q 27001:2006(情報セキュリティマネジメントシステム-要求事項)およびISO/IEC 27001:2005(以下、「規格」)を適用する。
4. 情報セキュリティの定義
情報セキュリティとは、機密性・完全性・可用性を保護し維持することを言う。
機密性・完全性・可用性とは次のように定義する。
機密性 : 情報が漏れないこと。
(アクセスを認可された者だけが、情報にアクセスできることを確実にすること。)
完全性 : 入っているデータが勝手に変更されないこと。
(情報および処理方法が正確であること及び完全であることを保護すること。)
可用性 :ほしい情報が確実に見えるようにすること。
(認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。)
5. 情報セキュリティ基本方針
(1) 顧客情報や社内の重要な情報を適切に保護し、情報セキュリティ事故の発生を防ぐこと。
(2) 災害発生時も情報セキュリティが保たれるようにすること。
(3) 情報セキュリティ事故が発生した場合、被害を最小限にとどめ、再発の防止に努めること。
(4) 災害発生後は出来るだけ早く業務が復旧できるよう対策すること。
(5) 全従業者(当社業務にかかわるすべての者)が、情報セキュリティの重要性を理解し、セキュリティ意識を共有すること。
6. 従業者の責任と義務
(1) 情報セキュリティ管理者は、適切な基準及び実施手順に基づき、情報セキュリティマネジメントシステムの実施を促進すること。
(2) 情報資産の脆弱性及び情報資産をリスクにさらす恐れのある脅威を管理するために、適切なリスクアセスメントを通して情報資産の価値を特定すること。
(3) ISMSを計画・実施し、改善すべき点を改善することにより、リスクを許容可能な水準に維持すること。
(4) 当社と顧客及び協力会社との取引において当社の完全性を維持するために、この基本方針の定期的運用を実施し、改善余地(脆弱性)のあるものに対し改善し完全性を実証すること。
(5) 役員、従業員、契約従業員、パート・アルバイター、パートナー(協力会社や外部のコンサルタント含む)など当社業務に関る全ての者(以下、「全従業者」)に対し、セキュリティの重要性と意識の向上を図ること。
(6) 当社情報セキュリティ基本方針を順守するために、定められた機密性・完全性・可用性を保護し維持すること。
(7) 全従業者は、情報セキュリティに関連する契約条件を遵守すること。
(8) すべての従業員は、就業規則を遵守すること。
(9) すべての従業員・協力会社は、ISMSで規定した規則を遵守すること。
7. 運用方法
(1) 基本方針の運用はISMS年間計画に従い運用する。
(2) 定期的な内部監査をもって基本方針が遵守されているか確認する。
8. 罰則
当社、顧客、パートナー会社の情報資産の保護を危うくする故意の行為を行った場合は、懲戒処分/法的処分の対象となる。
9. 関連文書
「ISMSマニュアル」をはじめとする関連文書を参照する。
10. 見直し
基本方針は、定期的に見直し、必要性が生じた場合にはその都度レビューを行い、見直しをする。 基本方針の変更が生じた場合、下位(規定及び手順書)の見直しを行い、レビューを行う。
ページトップ