- 1.目的
-
この文書は、株式会社たきC1(以下、「当社」という)の情報セキュリティマネジメントシステム(以下、ISMS)を構築するにあたっての基本的な方針(セキュリティポリシー)を明らかにしたものである。今後この文書を情報セキュリティの拠り所として位置付ける。
- 2. 基本声明
-
当社は、「団体と個人間のコミュニケーション手段としての高品質な広告を制作する集団」となることを目標に、かつ総合的に顧客満足度を向上させることを品質目標に掲げ、事業を通して総合的なサービスを提供することを企業理念としている。 私たちは、この企業理念に基づき、顧客および、社会の信頼に応えるべく、事業上、蓄積した情報やお預かりした、或いは知り得た情報をはじめとして、当社が取り扱う全ての情報資産を様々な脅威から守り機密性、完全性、可用性を確保、維持し、事業継続を確実にするために「情報セキュリティ基本方針」(以下、基本方針)を定める。全従業員は、情報セキュリティの規定を熟知し、不断の努力をもって遵守しなければならない。
- 3. 情報セキュリティの定義
-
情報セキュリティとは、情報の機密性・完全性・可用性を維持することと定義する。
機密性・完全性・可用性とは次のような意味を持つ。
機密性:認可されていない個人、団体等又はプロセスに対して、情報を使用不可又 非公開にする特性。
完全性:資産の正確さ及び完全さを保護する特性。
可用性:認可された団体等が要求したときに、アクセス及び使用が可能である特性。
- 4.情報セキュリティの目標
-
(1)定期的な情報セキュリティ教育の実施により、全従業員の情報セキュリティに対する啓発及び重要性 に対する意識の向上を図ること。
(2)常に最新のウィルス対策を実施すること。
(3)ソフトウェア製品の使用にあたって、使用許諾権を遵守すること。
(4)事業継続計画を充実させること。
(5)情報資産の評価価値に従った適切な取扱いを行うこと。
- 5.適用範囲
-
適用範囲は、当社の管理下にある、すべての業務活動に関わる情報資産について適用する。
詳細は、「情報セキュリティの適用範囲」を参照。
- 6.管理者の任務と義務
-
当社はシステム運用にあたり「ISMS委員会」を設置するものとする。
「ISMS委員会」は、各部門から部門責任者を任命し、各部門におけるISMSの推進に努める。
さらに、各部門から全社的にISMSを発展させることに努めるものとする。
- 7.リスク評価基準とリスクアセスメントの構造確立
- ISMS委員会は、「情報資産の分類及び管理に関する手順書」及び「リスク評価に関する手順書」で定めた方法に基づき、適用範囲にあるすべての情報資産を洗い出してその資産の価値を評価し、脅威と脆弱性の分析によりリスクを特定する。特定したリスクに対して最適な情報セキュリティ管理策を講じるものとする。すべてのリスクを定められた受容可能なリスク水準以下に軽減することを目標とする。
- 8.従業員の義務
- 基本方針の運用は「情報セキュリティ管理規定」および情報セキュリティの各手順書に従い、定期的な内部監査の実施により基本方針が遵守されているかを確認する。情報セキュリティ管理責任者は、適切な規定及び実施手順により基本方針の実施を促進する。役員及び全従業員(正社員、契約社員、パート、アルバイト)は、基本方針を維持するために策定された「情報セキュリティ管理規定」および情報セキュリティの各手順書に準じて行動しなければならない。また、全従業員は情報資産に対して事件・事故及び特定された弱点について報告する義務を要するものとする。
- 9.法的または、規制要求事項への対応
-
(1)個人情報保護
当社は、個人情報保護法に準じて個人情報を管理するものとする。
(2)機密情報管理
当社は、不正競争防止法に準じて顧客および当社の秘密情報を管理するものとする。
(3)著作権保護
当社は、著作権法に準じて著作物を管理するものとする。
- 10.機密保持契約
- 当社は、クライアントおよび従業員との機密保持契約事項に準じて情報を管理するものとする。
- 11.情報セキュリティ教育
- 情報セキュリティに関する啓蒙・教育活動は、経営者の支持のもと、ISMS委員会で推進を図るものとする。役員及び従業員(正社員、協力会社、契約社員、パート、アルバイト)は、情報セキュリティの教育及び訓練に参加することを義務とする。
- 12.罰則
- 当社の情報資産の保護を危うくする故意の行為を行なった場合は、就業規則の罰則規定に従い、懲戒又は法的処分の対象となる。
- 13.見直し
- 基本方針の見直し及び評価は、定期的に行われるマネジメントレビューで実施し、常により良いものへの改善を図る。
制定日:2009年9月7日
株式会社たきC1
代表取締役社長 湯浅洋平
