情報セキュリティ基本方針
当社は、「誠実」「高品質」「貢献」の3つのキーワードを経営理念としております。コンピューターをはじめとした情報システムおよび当社で取り扱うすべての情報資産を保護することが、お客様との信頼を保持し、お客様の経営管理に役立つより良いソフトウェア商品を安定的に提供しつづけるための重要な経営課題と認識しております。ここに「情報セキュリティ基本方針」を定め、当社が取り扱う情報資産の適切な保護対策を実施するための指針とします。経営陣を含む全従業員は、この目的を理解し、当社の情報セキュリティ諸規定の内容を熟知し、遵守します。
1. 情報セキュリティの定義
情報セキュリティとは、情報の機密性・完全性・可用性を維持することと定義する。
2. 適用範囲
当社の管理下にある、すべての業務活動に関わる情報を対象とする。
3. 管理者の任命と義務
会社はISMS委員会を設置するものとする。ISMS委員会は、各部門からタスクフォースを任命する。任命されたタスクフォースは、情報を不正な暴露、改ざんやサービスの妨害から保護すること。
4. セキュリティ対策
会社は、取り扱う情報に応じて、最適な情報セキュリティ対策を講ずるものとする。
5. 従業員の義務
アルバイト社員を含む全従業員は、「ISMS基本方針」、「情報セキュリティ手順書」「システム管理規程」「総務運用手順書」「リスクアセスメント規程」に準じて行動すること。もし、違反した場合には、罰則を適用するものとする。
6. 情報の特定と対策
ISMS委員会は、企業秘密情報やプライバシー関連情報を特定する。特定した情報に対して、その保護のために最適な情報セキュリティ対策を講じるものとする。
7. 個人情報保護
会社は、個人情報保護に関する法令等・ガイドラインに準じて個人情報を管理するものとする。
8. 機密情報管理
会社は、不正競争防止法に準じて顧客および当社の秘密情報を管理するものとする。
9. 著作権保護
会社は、著作権法に準じて著作物を管理するものとする。
10. 情報セキュリティの推進
会社の情報セキュリティについてはISMS委員会で推進を図るものとする。情報セキュリティに関する主管部門はシステム開発部とする。
11. 教育
情報セキュリティに関する啓蒙・教育活動は、経営層の支持のもと、ISMS委員会で推進を図るものとする。
12. リスク評価の基軸
当社は、顧客との情報交換の重要性を認識し、そのリスクを企業の責 任として高く認識し、リスクアセスメントに反映させる。また、情報資産を定義し保護すべき情報資産を特定する。特定した情報資産の資産価値や喪失時の影響度合いを決め、その情報資産に対して、どのような脆弱な部分があるかを評価し、リスクアセスメント手順に基づき分析を行うものとする。
以上
2009年12月1日(制定)
ケーエスピー株式会社
代表取締役 武田 雅也