情報セキュリティ基本方針


お客様から信頼される情報流通企業として、お客様情報のセキュリティに関するインシデントの防止を図ることにより、 お客様の信頼確保及び事業損失を最小限に留めることを目的とします。


情報セキュリティの定義

情報セキュリティとは、機密性、完全性及び可用性を確保し維持することをいい、下記のように定義します。

  • 機密性:許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は、非公開にする特性(情報を漏えいや不正アクセスから保護すること)
  • 完全性:資産の正確さ及び完全さを保護する特性(情報の改ざんや間違いから保護すること)
  • 可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性(情報の紛失・破損やシステムの停止などから保護すること)

適用範囲

適用範囲を下記のように定義します。

【組織】
  株式会社マイティテクノ

【施設】
  本社

【業務】
  システムサポート、システム開発、ソリューション、レンタルサーバ

【資産】
  上記業務、サービスにかかわる書類、データ、及びハードウェア

【ネットワーク】
  全社ネットワーク


実施事項

  • 適用範囲の全ての情報資産を脅威(漏えい、不正アクセス、改ざん、紛失・破損)から保護するため、情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善します
  • 情報資産の取り扱いは、関係法令及び契約上の要求事項を順守します
  • 重大な障害または災害から事業活動が中断しないように、予防及び回復手順を策定し、定期的な見直しを行います
  • 情報セキュリティの教育・訓練を適用範囲すべてのスタッフに対して定期的に実施します

責任と義務及び罰則

  • 情報セキュリティの責任は、代表取締役が負います。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供します
  • 適用範囲のスタッフは、お客様情報を守る義務があります
  • 適用範囲のスタッフは、本方針を維持するため策定された手順に従います
  • 適用範囲のスタッフは、情報セキュリティに対するインシデント及び弱点を報告する責任を有します
  • 適用範囲のスタッフが、お客様情報に限らず取り扱う情報資産の保護を危うくする行為を行った場合は、社員就業規則に従い処分を行います

定期的見直し

情報セキュリティマネジメントシステムの見直しは、環境変化に合わせるため定期的に実施します。


要求事項への順守

適用範囲のスタッフは事業上の要求事項またはセキュリティ関連の法的及び規制要求事項、並びに契約上の要求事項を順守します。


リスク対策の枠組み

当社では、下記の枠組みにしたがってリスクアセスメント及びリスクマネジメントを行い、管理目的及び管理策を設定します。

【情報資産の認識及び分類】
  当社における情報資産の重要度を正しく認識して分類を行います

【リスクアセスメント】
  リスクを評価するための基準を確立し、リスクアセスメントを行います

【リスクマネジメント】
  管理的、物理的、技術的なリスク対策を考案し、実施します


情報セキュリティ目標を設定する枠組み

当社は、本方針に則った情報セキュリティを確実にするため、「年間情報セキュリティ目標」に当年度の情報セキュリティ目標を定め、目標達成に向け行動します。

ISMS認証取得について

当社は、全部署を登録範囲とし、情報セキュリティ・マネジメントシステムの国際規格であるISO/IEC27001:2013/JIS Q 27001:2014を認証取得しております。

認証規格 ISO/IEC 27001:2013/JIS Q 27001:2014
認証登録範囲 全社
認証登録番号 JUSE-IR-230
審査登録機関 一般財団法人 日本科学技術連盟 ISO審査登録センター
認証登録日 2011年1月27日