情報セキュリティ基本方針

情報セキュリティ基本方針

1.情報セキュリティ目的

当社は、事業目的の達成において重要な情報資産を適正に活用・維持するため、情報セキュリティ管理システム(Information Security Management System:以下ISMS)を構築し、情報資産をあらゆる脅威から保護するために必要な情報セキュリティの確保に取り組むこととする。
本方針は、情報資産を利用する全ての者が、情報セキュリティ目的を達成するにあたって遵守すべき基本的な枠組みを定めたものである。

2.適用範囲

本方針は、当社の情報資産を対象とし、それらを取り扱うすべての役員及び従業員に適用される。

3.情報セキュリティの組織

当社は、情報セキュリティ維持のための最高決定機関として、情報セキュリティ統括責任者(役員クラス)を委員長とする情報セキュリティ委員会を設置する。情報セキュリティ委員会は、情報セキュリティ統括責任者及び情報セキュリティ対策室長から構成され、情報漏洩等に係わる情報セキュリティ全般に関わる全体的な方針を決定する。
情報セキュリティ委員会の下に実質的な情報セキュリティ事項を総括する情報セキュリティ対策室を設ける。対策室は対策室長と各部門の情報セキュリティ責任者から構成され、情報セキュリティ関連文書の作成、改訂、廃棄の審議並びにそれらに関連する重要事項の決定等を行い、関係部署への通達、調整を行う。また、各部門における遵守状況の監視を行う。

4.情報資産の分類及び管理

情報資産は、リスクアセスメントにより重要度の区分に応じて分類される。情報セキュリティ責任者は、それらの重要度の区分に応じて適切に管理する。

5.情報資産の取扱い

情報資産は、閲覧及び変更の権限を与えられた者のみが、その情報資産の内容を閲覧及び変更できる。また、情報セキュリティ責任者は、適切に権限を与えられた者が、いつでも閲覧及び変更を行えるよう、情報資産を適切に管理する。

6.監視・監査

情報セキュリティ責任者は、情報資産が適切に管理されているかどうかを常に監視する。また、情報セキュリティ関連ガイドライン等に基づき情報資産の管理が適切に行われているかについて、内部監査又は第三者による監査を定期的に受ける必要がある。

7.事故報告

情報セキュリティに関連する事故が発生した場合又は発生するおそれが生じた場合には、発見者は速やかに情報セキュリティ対策室及び情報セキュリティ責任者にその内容を報告しなければならない。

8.教育・訓練

情報セキュリティ委員会は、当社のすべての従業員に、職務に応じて必要な情報セキュリティの教育・訓練を定期的に計画し実施する。

9.法令遵守

情報資産を利用する全ての者は、情報セキュリティに係わる法的要求事項及び当社の規定を遵守する。

10.継続的改善

当社は、情報セキュリティ方針、情報セキュリティ目的、パフォーマンス評価、是正処置を通して、ISMSの適切性、妥当性及び有効性を継続的に改善する。

11.罰則

情報資産を利用する全ての者は、当社ISMSを遵守しなければならない。遵守事項の違反に対しては、就業規則に基づく処罰等の処置がとられる場合がある。

有限会社テトラビット
代表取締役 尾風邦夫