ISMS基本方針
株式会社ITスクエア(以下「当社」と表記する。)は、お客様の信頼の元に、お客様から業務委託を請けて、ITコンサルティング、情報セキュリティ、調査の各業務を行っています。今後継続してお客様からこのような仕事を受託するには、当社の信頼を維持し、信頼のブランドを築くことが重要です。
当社では、お客様に信頼されるサービスを提供していくことを目的に、「ISMS基本方針」を定め、当社が取り扱う資産の適切な保護対策を実施するための指針とします。この方針に沿って、情報セキュリティマネジメントシステムを確立し、導入、運用、監視、見直し、維持及び改善を行います。
役員を含むすべての従業者は、この目的を理解し、当社のISMS基本方針ならびに確立した情報セキュリティマネジメントシステムの規定や手順を遵守することで、情報セキュリティ重視の考えで業務を遂行します。
【組織目的と維持】
このために当社は、お客から委託され取扱う資産、当社が取得した個人情報及び当社が保有する資産について、機密性、完全性、可用性を確保し、維持する。
【適用範囲】
【経営者の責任】
- ISMSの基本方針及び目的を定め、情報セキュリティ責任者を任命する。
- 情報セキュリティ責任者が行う情報セキュリティマネジメントシステムの活動に必要な経営資源を提供する。
- リスクアセスメントの枠組み、リスク受容基準、及びリスクの受容可能レベルを決め、リスクアセスメントの結果、残留リスク、管理策の採否結果、及び、構築された情報セキュリティマネジメントシステム、これらを推進するセキュリティ計画の承認、決定を行う。
- 定期的な内部監査、マネジメントレビュ-を実施し、採用した管理策の有効性の評価、実施した改善の有効性の評価、リスクアセスメントの結果及びマネジメントシステムならびにこの基本方針を見直し、情報セキュリティマネジメントシステムの継続的な改善を実施する。
【情報セキュリティ責任者の義務】
【資産の特定とリスクアセスメントおよび管理策の選択】
- 情報セキュリティ責任者は、事業上取扱う個人情報や企業秘密情報等の資産とその管理者を特定し、特定した資産に対して、当社の事業規模や事業内容に見合ったリスクアセスメント方法を定め、資産の保護のために合理的で適切な管理策を選択する。
- 経営者は、リスク受容基準及びリスクの受容可能レベルを決定する。
- 経営者及び情報セキュリティ責任者は、リスクアセスメントの結果、リスクアセスメント方法やこれらの基準・水準を、組織や事業、技術、社会などの環境変化に応じて見直す。
【個人情報保護】
- 当社が取り扱う個人情報を保護するための管理策を実施する。
- 本人が持つ“自己の個人情報をコントロールする権利"の考え方を尊重し、法律や省庁の指針及び規範に則り、個人情報の利用目的の特定と公表・通知、法令と利用目的に限定した取得、利用・提供を行う。
- また、個人情報に関する苦情に対応すると共に、開示等が必要な保有個人データについての開示等の対応を行う。
【法令の遵守】
- 不正競争防止法に基づいて顧客および当社の秘密情報を管理する。
- 著作権法に準じて著作物の権利を尊重するためにソフトウェア等を適切に管理する。
- その他業務上関遵する法令を明確にし、遵守する。
【従業者の義務】
当社は、従業者の義務違反を発見した場合には、当社の就業規則等に則り懲戒処分を行う。
【教育】
制 定 2008年 4月 1日
最終改定 2023年 6月9日
株式会社ITスクエア
代表取締役社長 伴内 富士男
ISO 27001は、組織が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらすISMSの国際規格です。
情報の機密性(C:Confidentiality)・完全性(I:Integrity)・可用性(A:Availability)の3つをバランスよくマネジメントすることで、企業は保有する情報資産を有効に活用することができます。