情報セキュリティ方針
当社における事業は、著作権許諾代行サービス、広告の企画及び制作業務、独自システム開発及び保守業務、セールスプロモーションの企画及び管理、特殊用紙及びLEDパネルの販売業務など、多岐にわたるため、保護すべき情報資産も顧客の個人情報、顧客企業に関する機密情報及び顧客企業から預かっている個人情報や企業情報、製品情報、ハードウェア、ソフトウェア、ネットワーク、各種データファイル、業務遂行のために必要な要員やドキュメント等、数多く存在します。当社がお客様により良いサービスを提供し、信頼を維持・向上させるためには、経営者を含む全社員が情報資産の重要性を認識し、充分な安全管理対策を講じ、情報の価値を高めていく必要があります。情報資産を取り巻く各種の脅威から適切に保護するため、ここに「情報セキュリティ基本方針及び個別方針」を定め、その方針のもと、情報セキュリティマネジメントの適切な運用と継続的な改善を図ってまいります。また、個人情報保護法や著作権法等の関連法令を遵守し、規制の要求事項並びに契約上のセキュリティ義務へ適切な対応をするべく、コンプライアンス経営に徹します。
■基本方針
-
情報セキュリティの組織目的と維持
社内基準を確立してリスク評価を実施し、重要な情報資産と関連する脅威や脆弱性を全社的に認識し、適切なリスク対策を実施して、情報資産への不正アクセス、紛失、破壊、改ざん及び漏えいの予防等、情報セキュリティ事件、事故の発生を防ぎ顧客の信頼へ応え続けることを目的とします。
また、顧客から委託されて取り扱う資産および当社が取得した個人情報や資産に対し、情報セキュリティとしての機密性、完全性、可用性を確保し、維持します。 -
組織内部・外部の課題と見直し及び改善
経営方針や組織体制の変更、国内外の社会情勢の変化、技術的変化、法令・規制等の変更、利害関係者の要求事項の改定に伴う課題に対し、継続的に情報セキュリティの見直しを図り、維持・改善します。
-
適用範囲
ISMS適用範囲で定めた業務を適用範囲とし、同業務で取り扱う情報資産を対象とします。
-
法令の遵守
全社員が情報セキュリティに関わるすべての法令や社内規程を遵守して、情報セキュリティ対策を推進します。
-
社員の義務
全社員は、情報セキュリティ基本方針及びISMSに関する規程ならびに手順書を遵守し行動します。
法令規制要求事項及び社内規程に違反した場合、就業規則などにより罰則を適用します。 -
教育
社員に対して情報資産と情報セキュリティの重要性を認識させ、情報資産及び設備・機器の適正な利用を周知徹底すると同時に、必要な教育を継続的に実施します。
-
事件・事故への対応
情報セキュリティ上の問題が発生した場合、迅速な原因究明を行い最小限の被害にくい止める最善の策を講ずるとともに、予防及び維持改善に努めます。
■個別方針
-
アクセス制御
当社の資産を不正アクセス、盗難、漏洩等のリスクから守るために、情報へのアクセスについて以下のアクセス制御方針を制定します。
(1)物理的なアクセス
執務室への入退出は、電子錠で認証を行い管理することにより、情報資産の安全を確保します。
(2)ネットワークに関するアクセス
情報システムおよびファイルへのアクセスに関しては、アクセス権限を個別ユーザーに対し適切に付与し権限を有する者のみ閲覧・操作可能とします。
-
ウイルス対策
情報漏洩や改ざんを引き起こす不正プログラムの侵入をファイアウォールやウィルス対策ソフト等により事前に防御します。
-
モバイル機器
モバイル機器にはセキュリティロックを設定し、社外持ち出し時には常に携行します。また、情報資産を格納する際は許可を必要とし暗号化を必ず実施します。
-
情報の暗号化
暗号化を必要とする場合、パスワード等により管理し、当事者以外はアクセスできないようにします。
-
クリアデスク・クリアスクリーン
(1)机の上は常に整理整頓を心がけ、機密文書を放置しません。
(2)データについては、社内規定に準じて保管します。
(3)業務PCはスクリーンセーバを必ず設定します。
-
バックアップ
社内規定に準じて定期的にバックアップを行います。定期的にリストアの試験を実施し、バックアップが確実であることを確認します。
-
情報の転送
通信設備を利用した情報資産の交換を保護するために、情報漏洩や改竄等への業務リスクを認識し、適切な転送手順及び管理策を定め、運用します。
-
供給者関係のための情報セキュリティ
外部の利害関係者が当社の情報資産を利用したり、アクセスしたりする場合には機密保持契約書などを締結します。
2019年07月01日改訂
株式会社 パシオン
代表取締役 後藤 和弘