情報セキュリティ基本方針
「ISO/IEC 27001」情報セキュリティマネジメントシステム(ISMS)
エスエーエス株式会社(以下「当社」という)は、お客様の信頼を受け、業務委託によるシステム開発及び社員の派遣及び パッケージソフトの販売とサポートを行なっています。今後継続して、当社の信頼を維持し信頼のブランドを築づくことで、お 客様の要望に応えていくことが重要で、 その為に情報セキュリティ上の脅威から情報資産を保護し、情報資産を正確かつ安全に取り扱う責務がある。 当社がお客様の信頼に応えて信頼されるサービスを提供する目的において、本基本方針を定め、当社の取り扱う情報資 産の適切な保護対策を実施する為の指針とします。この指針に従って情報マネジメントシステムを確立し、導入、運用、監 視、見直し、維持及び改善を行ないます。全ての従業員が「情報セキュリティ基本方針」を理解し、確立した情報マネジメン トシステムによる規定と手順を遵守し業務を遂行します。
下記に基本方針を記載します。
1.情報セキュリティの組織目的と維持
お客様から提供された資産の消失、盗難、不正使用、漏洩を防止すること及び社内に於けるシステム開発環境の維持を
組織の目的とする。情報セキュリティとして、お客様から提供された資産及び当社が取得した個人情報、及び当社が保有
する資産について、機密性、完全性、可用性を確保し、維持する。
お客様から提供された資産の消失、盗難、不正使用、漏洩を防止すること及び社内に於けるシステム開発環境の維持を
組織の目的とする。情報セキュリティとして、お客様から提供された資産及び当社が取得した個人情報、及び当社が保有
する資産について、機密性、完全性、可用性を確保し、維持する。
2.適用範囲
本基本方針は、当社が事業活動で取り扱う情報資産、及び全ての従業員に適用する。
(1)組織・・・エスエーエス株式会社 全組織
(2)所在地・・・東京都豊島区南池袋2-29-16 ルボワ平喜702
(3)適用対象者・・・当社で業務に従事する全ての役員、社員等、派遣契約社員、委任契約社員、請負契約社員に適用する。
(4)情報資産・・・当社における全ての情報及び使用する情報システムとする。
(5)技術・・・①当社で開発し販売しているパッケージ等システム
②銀行向け外為照合システム(FinacialReconcileSystem)
③医学界用学会会員管理システム及び一般学会用会員管理システム
④通販事務システム
(6)適用範囲の境界・・・物理的境界 別紙1レイアウト図に物理的境界を示す。
・・・システム境界 別紙2ネットワーク構成図にシステム境界を示す
本基本方針は、当社が事業活動で取り扱う情報資産、及び全ての従業員に適用する。
(1)組織・・・エスエーエス株式会社 全組織
(2)所在地・・・東京都豊島区南池袋2-29-16 ルボワ平喜702
(3)適用対象者・・・当社で業務に従事する全ての役員、社員等、派遣契約社員、委任契約社員、請負契約社員に適用する。
(4)情報資産・・・当社における全ての情報及び使用する情報システムとする。
(5)技術・・・①当社で開発し販売しているパッケージ等システム
②銀行向け外為照合システム(FinacialReconcileSystem)
③医学界用学会会員管理システム及び一般学会用会員管理システム
④通販事務システム
(6)適用範囲の境界・・・物理的境界 別紙1レイアウト図に物理的境界を示す。
・・・システム境界 別紙2ネットワーク構成図にシステム境界を示す
3.経営者の責任
経営者は、情報セキュリティ管理責任者を任命し、情報セキュリティ管理責任者が必要とする情報セキュリティマネジメント
システムの経営資源を提供する。 経営者は、情報セキュリティマネジメントが適正に運用しているかを客観評価する内部
監査員を任命する。
経営者は、情報セキュリティ管理責任者を任命し、情報セキュリティ管理責任者が必要とする情報セキュリティマネジメント
システムの経営資源を提供する。 経営者は、情報セキュリティマネジメントが適正に運用しているかを客観評価する内部
監査員を任命する。
4.管理者の義務
情報セキュリティ管理責任者は、情報セキュリティマネジメントシステムを確立し、
導入、運用、監視、見直し、維持及び改善を図るための活動を推進する。
情報セキュリティ管理責任者は、情報セキュリティマネジメントシステムを確立し、
導入、運用、監視、見直し、維持及び改善を図るための活動を推進する。
5.資産の特定とリスクアセスメント及び管理策の選択
情報セキュリティ管理責任者は、事業上取扱う情報資産を「機密性」、「安全性」、「可用性」の視点から、
重要情報資産を特定し、リスクアセスメントを行い合理的で適切な管理策を選択し、また、環境変化に応じて重要情報資産の見直しをする。
情報セキュリティ管理責任者は、事業上取扱う情報資産を「機密性」、「安全性」、「可用性」の視点から、
重要情報資産を特定し、リスクアセスメントを行い合理的で適切な管理策を選択し、また、環境変化に応じて重要情報資産の見直しをする。
6.個人情報保護
個人情報を保護するための管理策を実施し、法律や省庁の指針及び規範に則り、取得、利用・提供を行う。
個人情報は原則非公開とし、開示が必要となった場合は、個人情報の利用目的の特定し個人情報保護の確認の基に開示行う。
個人情報を保護するための管理策を実施し、法律や省庁の指針及び規範に則り、取得、利用・提供を行う。
個人情報は原則非公開とし、開示が必要となった場合は、個人情報の利用目的の特定し個人情報保護の確認の基に開示行う。
7.法令の遵守
当社の業務推進上で情報セキュリティに適用される法令・規則、その他のガイドラインを明確にし、遵守する。
当社の業務推進上で情報セキュリティに適用される法令・規則、その他のガイドラインを明確にし、遵守する。
8.従業者の義務
当社の全ての従業者は、本基本方針、及び情報セキュリティマネジメントシステムに関する社内規定・手順書を遵守して行動する。 違反した場合には、当社の就業規則等に則り懲戒処分を適用する。
当社の全ての従業者は、本基本方針、及び情報セキュリティマネジメントシステムに関する社内規定・手順書を遵守して行動する。 違反した場合には、当社の就業規則等に則り懲戒処分を適用する。
9.教育
当社の全ての従業員に対し、職務に応じて必要な情報セキュリティに関する教育及び訓練を実施する。
当社の全ての従業員に対し、職務に応じて必要な情報セキュリティに関する教育及び訓練を実施する。
セキュリティ対策例
1.外部からの接続に対し、許可したグローバルIP以外を禁止する。
ルータの設定により弊社許可していない外部(グローバルIP)からの接続を拒否します。
2.社内からWebサーバを公開しない。
弊社はシステム開発を行う会社でプロバイダーサービスは行っていません。WEBサービスが必要な箇所は外部のプロバイダーを利用します。
お客様が自社内に会員管理等のWEBサーバーを設置する場合はルータにより使用しないポートを閉じています。
3.ホームページとメールサーバーはプロバイダに置く。
ホームページとメールサーバーをプロバイダーにお願いし、24時間の稼働とセキュリティを確保します。
4.社内からの情報漏えい対策。
メッセンジャーの使用を禁止します。IPone等個人使用の携帯機器でメールの送受信を禁止します。
(許可していなUSBの接続の検出や営業上関係ないと思われるホームページの閲覧を監視はしません、回線トレースによる監視はしません。--システム費用や監視費用がかかります。)
弊社は社員を信頼します。社員とコミュニケーションをとり意識モラルを高い位置に維持することに努めます。むしろ、共有化や情報共有によりセキュリティを確保し便利性に重点を置いています。)