ISMSへの取り組み
NEXTシステムズは、国際規格の情報セキュリティマネジメントシステム(ISO27001)の適合を2009年に認証されて以来、毎年審査に合格し認証の継続維持を続けています。
情報社会が急速に進む中、自社及びお客様からの情報資産を機密性、完全性、可用性をバランスよく維持・改善して、リスクアセスメントにより、必要なセキュリティレベルを決め、プランを立て、システムを運用しています。
1. 経営方針としての情報セキュリティ
当社は、「私たちは、ITの恩恵を誰もが享受できる次世代の社会システムづくりに貢献します」とした、当社理念に基づき、
- ITプラットフォーム構築/ITシステム運用管理サービス
- WEBデザインサービス
- システム開発支援サービスを提供しています。
誠実なる組織として、倫理観・道徳観そして強い責任感をもって、これらのサービスを継続して提供することが当社の社会的な使命であり企業理念実現への道と考え、経営方針として情報セキュリティに経営陣、従業員、パートナーが一体となって真摯に取り組みます。
ここに、「情報セキュリティマネジメンシステム基本方針」を定め、情報セキュリティに関わる当社の基本的な取組みを宣言し、当社の業務に携わる経営陣、社員、及びパートナー社員が継続的な情報セキュリティ対策を推進するための指針とします。
2. 情報セキュリティの目的
企業の事業環境は、ITの急速な進歩によりネットワークの拡大と普及、オープン化、グローバル化、および複雑化が進み、会社の機密情報やお客様からお預かりした情報が常に様々な脅威に晒されています。
当社はそのような中で、情報資産と個人情報のセキュリティを守り、お客様及び関連する企業様、パートナー様の安全を確保することは、社会的責務であり、事業を継続する上で不可欠なことと認識し、
- 当社が提供するサービスにおけるプロセス上の安全性の確保
- 当社が保有する社内外にかかわる情報資産および個人情報の保護
- 社員およびパートナー社員のリスクからの保護
を情報セキュリティの主たる目的とします。
3. 情報セキュリティの目標
当社の掲げる最終目標は次の通りとします。
- 情報セキュリティ事故を未然に防止し、情報セキュリティ事故の発生をゼロにすること。
- 情報セキュリティ事故が発生した場合、被害を最小限にとどめること。
- 災害発生時も情報セキュリティが保たれるようにすること。
- 災害発生後は規定時間内で復旧できるよう対策すること。
- 経営陣、社員、及びパートナー社員が、情報セキュリティの重要性を理解し、意識を共有し、セキュリティに関する力量を向上させること。
上記の最終目標を達成するため、以下を実施します。
- 年度計画の中で「年度目標」を策定します。
- 年度目標の進捗・達成状況を情報セキュリティ委員会において検証します。
- マネジメントレビューにおける成果達成の指標の一つとします。
4. 適用範囲
- 本基本方針は、経営陣・社員・パートナー会社社員(以下、全従業員という)並びに当社が保有する重要な情報資産すべてに適用します。
- 具体的に適用する業務、組織、拠点、情報資産、情報システムおよび利害関係者の要求と期待などについては、「適用範囲文書」に記載します。
5. 情報セキュリティマネジメントシステム(ISMS)の構築と実施体制
- 当社はISMSを構築し、情報セキュリティ委員会を設置します。
- 当社は情報セキュリティ責任者(CISO)を経営陣より任命し、情報セキュリティの責任を経営陣に置くこととします。
- 当社はISMSの円滑な推進を図るため推進体制を定め、責任と権限を明確にします。
- 当社は情報セキュリティ委員長およびISMS管理者を任命し、ISMS事務局を設置します。
6. 従業者の責任と義務
1. 適用規格
当社の情報セキュリティには「ISO/IEC27001:2013(JIS Q27001:2014)」の要求事項を適用し、規格適用の認証取得を行います。
2. 情報セキュリティの定義
「情報セキュリティ」とは、情報資産の「機密性」、「完全性」及び「可用性」を維持することと定義します。
情報資産:情報及び情報システム
機密性 :情報資産に権限を持たないものが参照することを防止すること
完全性 :情報資産の正確かつ完全さを保護すること
可用性 :情報資産が定められた方法により必要な時に利用できること
3. 優先事項
社員、パートナー社員の人命、安全を最優先とします。
4. アクセス制限の原則
業務上必要な者のみに情報資産へのアクセス権限を与えることとします。
5. 情報資産の管理
情報資産は法令・規制、契約上の要求事項及び当社の定める情報セキュリティの規定に従い管理します。
6. 情報資産の分類
情報資産は、機密性、完全性、可用性それぞれの資産価値の観点から、それらの重要性に応じて適切に分類し管理することとします。
7. リスクマネジメント
リスク評価方法を採用し、事業の特性から重要と判断する情報資産についてリスク分析を実施し、適切な対策を実施します。リスク対策については、有効性を測定し効果を評価し、リスクマネジメントの向上を図ります。
8. 監視
情報セキュリティマネジメントシステムが適切に管理されていることを、日常の監視体制、定期的な内部監査および経営者のレビューなどにより継続的な監視活動を実施します。
9. セキュリティインシデントの対応
情報セキュリティに関連する事件・事故の速やかな対策を図るとともに、その原因を分析し、再発防止策と予防対策を講じます。
10. 事業継続管理
災害や情報システムの故障など重大な事象の発生時において、主要な事業の中断を最小限に抑え、事業の継続を確保します。
11. 教育・訓練
全従業員およびパートナー社員に対し、職務に応じて必要な情報セキュリティ教育及び訓練を実施し、その有効性を確認します。
12. マニュアル・手順類の整備
情報セキュリティマネジメントシステムのマニュアル・手順類を整備し、その順守の徹底を図ります。
13. 法律上及び契約上の要求事項の順守
情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を順守します。また、当社に関係する法令、規則は一覧表にして明確に示し、全従業員への周知を図ります。
14. 継続的改善
情報セキュリティマネジメントシステムの継続的な改善に取り組みます。
7. 全従業員の責任と義務
- 全従業員は情報セキュリティを理解し責任を持ち、積極的にISMSに参画すること。
- 経営陣は情報セキュリティに関する経営資源を提供しその役割を任命し任務遂行を積極的に支援し、その任務に対し責任を持つこと。
- 情報セキュリティ委員会は、適切な基準及び実施手順に基づき、情報セキュリティマネジメントシステムの実施を促進すること。
- ISMS管理者は ISMSを計画・実施し、改善すべき点を改善することにより、リスクを許容可能な水準に維持するよう社内外に働きかけること。
- 全従業員は当社と顧客及びパートナー会社との取引において情報セキュリティを維持するためにこの基本方針の定期的運用を実施し、情報セキュリティに関連する契約条件を遵守すること。
- 全従業員はISMSで規程した規則を遵守すること。
- すべての社員は、就業規則を遵守すること。
8. 文書化および周知
本基本方針およびISMSで規程するものはすべて文書化し役割や責任範疇に合わせ、対象の全従業員に周知します。
9. 罰則
本基本方針及び情報セキュリティに関連するマニュアル・細則類に違反する行為を行った全従業員は、就業規則または契約等に定めるところにより懲戒を受けることがあります。
10. 見直し
情報セキュリティ基本方針は、毎年見直しを図ります。事業環境に重大な変化が生じた場合には、本基本方針を随時見直します。
11. 適用時期
「ISO/IEC27001:2013(JIS Q27001:2014)」の要求事項を2015/8/1より施行する。