ISMS基本方針
ホーム> ISMS基本方針
ISMS基本方針
制定日 2012年 9月12日
改定日 2024年4月1日
代表取締役 牧 邦彦
株式会社アウトソーシングトータルサポート(以下「当社」という)は、水道メーターの検針・料金収納事務等のサービス業務受託企業として、お客様から常に信頼され、あらゆるニーズに応え続けることで地域社会と市民生活向上に貢献すべく活動しています。今後も技術革新、高度情報化社会に向けて更に多様化する要求に応え続けることが、当社に課せられた使命であると考えます。
そのためにも情報資産に対して適切なセキュリティ対策を実施し、紛失、盗難、不正使用等の様々な脅威から保護し、お客様の信頼を確保し、より良いサービスを提供していくことは、当社にとって重要な責務であると認識しています。そのことを、当社のすべての従業員、関連するステークホルダーに知っていただくことが重要です。
安心、安全に立脚した企業としてお客様からの信頼度を高め、当社が飛躍することを目的としてISMSを構築、推進します。
ISMSの適用範囲は、営業部及び業務管理部を対象とします。 なお、適用範囲において、一般的に考えられる脅威、脆弱性については、可能な限り対応することとします。
当社の経営理念、事業目的に照らし、「情報セキュリティ方針」を制定します。
ISMS組織要員の方々は「情報セキュリティ方針」をよく理解した上で、業務への積極的な取組を期待します。
情報セキュリティ方針
1.全般的認識及び原則
当社は前述の経営陣から発せられた言葉に則り、当社のISMSを日本工業規格(JISQ27001:2014)に準拠して、構築、運営管理する。
2.体制
当社は、経営陣直轄の組織として「ISMS事務局」を設置し、情報セキュリティを全社総合的に調整、推進する体制を整える。 トップマネジメントは、最終的な責任者としてマネジメントレビューを実施する。
3.法的要求事項の遵守
当社ISMSの確立及び運営管理にあたっては、事業上及び法令又は規制の要求事項、並びに契約上のセキュリティ義務を考慮する。
4.ISMSの確立及び維持
当社のISMSは本方針に従い確立及び維持する。また、当社の戦略的なリスクマネジメントの状況と調和を取る。
5.ISMS目的と情報セキュリティ目的
ISMS事務局は、経営陣から年度当初に発せられる「ISMS目的」を達成するために「情報セキュリティ目的」を策定し組織全体への展開を図る。ISMS組織要員は、ISMS目的及び情報セキュリティ目的達成に向けて自らの活動を明確にし、積極的に活動するものとする。
6.リスク評価の基軸
通常想定できない「戦争」、「テロ活動」、「ライフラインの長期停止」等についてのリスクは、経営陣が保有するが、一般的に考えられる脅威、脆弱性については、可能な限り対応するものとする。 また、情報セキュリティにおける3要素(機密性、完全性、可用性)については、その重要性を同等と考え リスク評価するものとする。
7.リスクマネジメント
ISMS事務局は、リスクマネジメントを的確に行うため、リスクマネジメントについての手順書を定め、ISMS組織要員全員で遵守する。 ISMS事務局は、資産に対する脅威と脆弱性を識別し、判明したリスクを正当な規準を用いてリスク 対応を評価する仕組みを確立し、定期的にアセスメントを実施するものとする。
8.本方針の承認、見直しについて
本方針はISMS事務局が起案し、経営陣の承認を受けて通達、更新されるものとする。
9.資産の管理と取扱い
ISMS組織要員は、組織の業務上で必要かつ重要な資産を明確化し、適切な保護及び維持の仕組みを構築するものとする。
10.情報へのアクセス管理
ISMS組織要員は、情報のアクセスについて以下の管理を行う。
- 情報の取り扱いに関して、各組織と従業員の職務権限を明確に定める。
- 情報へのアクセス権限は、情報の種類および業務に応じて真に必要な者に限定して付与する。
- 情報へのアクセスの際は、ユ-ザID・パスワード等による本人の認証を行う。
- 情報へアクセスした場合、またはデータベースに変更を加えた場合等は、その証跡を記録し、一定期間保有する。
11.入退室管理
外部からの不審者、入退権限のない者の侵入等を防ぐため入退管理システムにより管理する。
12.業務委託先の管理
業務委託は、情報保護セキュリティの観点から業者選定基準を設け、十分な審査を経て適格な相手先を選定する。 また、委託契約などにおいて情報の適切な管理のための必要な措置、秘密保持、再委託先の管理、 検査への協力等情報の管理に関する事項について定める。
13.情報の保有期間と廃棄又は返却
情報の種類毎に保有期間を定め、保有期間を経過した情報は定期的かつ安全・確実に廃棄または返却する。
14.教育・訓練
ISMS組織の要員は、職務に応じて必要な情報セキュリティに関する教育を定期的に受講する。
15.ISMS事務局の開催
ISMS推進管理者は、月に一度ISMS事務局を開催し、ISMSの有効性測定や新しいセキュリティ取組み手順等を伝達し、必要に応じて各種規程類の見直しを行う。
対象者はISMS推進管理者及び、 ISMS事務局を主軸とし、必要に応じ、他部門の人員を参考の為、招致できるものとする。なお、実施プロセスは管理策有効性確認方法に準ずる。
16.内部監査
ISMSについての内部監査を定期的に行い、是正等が必要な場合はそれらを積極的に実施する。
17.ISMS組織要員に対する罰則
ISMS組織要員が、本方針及び情報セキュリティの関連規程に違反する行為を発見した場合は、ISMS事務局に報告する。
報告を受けたISMS事務局は、報告内容を協議し、以下の対応を行う。
【違反内容が軽微な場合】
- トップマネジメントの注意、指導、訓戒としその記録を残す。
【違反内容が故意、重過失の場合】
- 社員の場合は、当社が定める『就業規則』や『誓約書』の定めを適用する。
- 役員の場合は、役員会の審議に従って対処する。
18.継続的改善
ISMSの取組みはマネジメントレビューによる定期的な見直し及び、経営陣により必要と判断された場合における見直しを実施する。
※ISMS適用範囲:本社 営業部、業務管理部、経営管理部、採用課