情報セキュリティ基本方針
株式会社サイバーシスコム(以下、当社)にとって、「セキュリティの確保」は必須事項であり、昨今の度重なるセキュリティ事件は、当社にとっても「対岸の火事」ではなく問題を発生させないために、早急に対応しなければならない経営課題であり、お客様との関係においてもセキュリティ事件が発生した場合、営業機会の損失は甚だしいものになることは想像に難くなく、ネットワークコンピュータを利用した経営環境が導入されて久しい昨今、情報セキュリティ堅守が益々高まって来ております。
現在ではビッグデータを扱う状態があたり前となり、ネットワークコンピュータ上で扱われる事が当然のことであり、その導入による業務効率の影響は甚だしくまた、経営支援ツールとしても今後も大いに活用していくべきものであると考えられます。
当社は、顧客満足度を向上させるためにも「質実剛健」ブランドイメージを早急に構築しなければならない考えるに至りました。
そこでネットワーク上を流通する情報やインターネット及び情報ネットワークなどの情報システム(以下、情報資産)を第4の資産と位置付け、情報資産を重要な資産とし保護・管理しなければならないと考えます。
1. 当社は、情報資産を保護する「情報セキュリティマネジメント」を実施するために『情報セキュリティポリシー』を策定致しました。
情報セキュリティポリシーは、情報資産を故意や偶然という区別に関係なく、改ざん・破壊・漏洩等から保護されるような管理策をまとめた文書です。
情報資産を利用する全ての者は、情報セキュリティの重要性を認知し、この『情報セキュリティポリシー』を遵守致します。
2. 『情報セキュリティポリシー』の適用範囲
『情報セキュリティポリシー』の適用範囲は、当社の情報資産に関連する人的・物理的・環境的リソースも含むものとする。
3. 『情報セキュリティポリシー』の適用者
当社の社員・契約社員(一時雇用者を含む)を従業員と定義する。
『情報セキュリティポリシー』の適用者は、経営陣、従業員を含めた、当社の情報資産を利用するすべての者である。
3.1 経営陣の責務
経営陣は、『情報セキュリティポリシー』への支持・支援を表明し、率先して情報セキュリティマネジメントを推進しなければならない。
3.2 従業員の責務
従業員には、当社の情報資産の使用を認めるが、それは、円滑な業務遂行の手段としての使用を認めることであり、私的利用を許可するものではない。
従業員は、情報資産を扱う上で、企業利益の維持・向上および顧客満足のために、『情報セキュリティポリシー』に同意し、遵守しなければならない。
また、これに違反した者は、その結果について責任を負わなければならない。
3.3 外部委託業者に対する対応
『情報セキュリティポリシー』の適用範囲内で行う作業を、外部委託業者に依頼する場合には、契約上で遵守するべき情報セキュリティ管理策を明確にし、セキュリティ事故時の責任に関しても明確にしなければならない。
4. 『情報セキュリティポリシー』の構成と位置付け
当社の『情報セキュリティポリシー』は、以下の3つの階層に分けて策定・管理される文書とする。
4.1 情報セキュリティ基本方針
情報セキュリティ基本方針(以下、「方針」とする)は、『情報セキュリティポリシー』の最上位に位置する文書である。
この文書は、当社の情報セキュリティマネジメントにおける基本方針を記述したものである。この文書に基づいて下層の文書を策定する。
4.2 情報セキュリティ管理基準
情報セキュリティ管理基準(以下、「管理基準」とする)は、方針の下層に位置する文書である。
この文書は、方針での宣言を受け、項目毎に遵守すべき事項を網羅的に記述する。
4.3 情報セキュリティ管理策
情報セキュリティ管理策(以下、「管理策」とする)は、管理基準の下層に位置する文書である。
この文書は、管理基準で記述された文書をより具体的に、配布するべき対象者毎に内容をカスタマイズして記述する。
4.4 既存の規定との関連
方針は、当社の他の規定(人事規定、就業規則等)と同等の位置付けの文書とする。
よって、この文書の改廃は所定の規定に準じて行うものとする。
4.5 その他関連法規
『情報セキュリティポリシー』は、関連法規と照らして違反することの無いようにしなければならない。
また、必要に応じて関連規格に遵守した管理策を導入しなければならない。
関連法規・関連規格としては、以下のものが挙げられる。
<国際規格>・ ISO/IEC 27002(BS7799) ・ ISO/IEC TR 13335(GMITS)
<国内規格>・ JIS Q 15001
<国内法規>・ 刑法・ 不正アクセス行為の禁止等に関する法律・ 建築基準法/同施行令・ 消防法/同施行令/同施行規則・ 不正競争防止法・ 著作権法
5. 『情報セキュリティポリシー』の公開対象者
方針は、従業員すべてを公開対象とする。したがって、一般には公表しない機密情報として取り扱わなければならない。以下、方針以外の文書は機密情報である。
管理基準・管理策は、情報セキュリティ委員会メンバーと担当部署の者を公開対象とする。
6. 『情報セキュリティポリシー』の公開
『情報セキュリティポリシー』は機密文書として扱い、原則として他者に公開してはならない。
ただし、公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で、公開を認める場合がある。
7. 執行日
本基本方針は、2019年5月31日に情報セキュリティ委員会によって承認され、2019年7月1日より執行する。
制定日:2019年7月1日
株式会社サイバーシスコム
代表取締役社長 小西 雄次