情報セキュリティ方針群

    日本オフィス・オートメーション株式会社(以下「当社」といいます)は全てのセキュリティ脅威から当社及びお客様の情報資産を適切に保護し、安定した事業活動を継続することを社会的責務と考え、「情報セキュリティ方針群」は「情報セキュリティ基本方針」及び「情報セキュリティ個別方針」で構成される。


    ●情報セキュリティ基本方針


  1. 方針
     当社は、ソフトウェア開発事業を中心とするSI事業を行う中で、順法の精神を基本に社会的責任を認識し、情報資産の安全性、信頼性の確保に努め、顧客企業および社会に信頼される会社として活動するために情報セキュリティ基本方針を定めるとともに、情報セキュリティマネジメントシステムを構築、運用し、継続的に維持および改善していきます。
  2. 適用範囲
     当社のすべての事業活動における情報資産に適用します。
  3. 推進体制
     当社は情報セキュリティマネジメントシステム(以下ISMSという)を推進していくために、代表取締役を最高責任者とし、情報セキュリティ委員会を設置してISMSの推進と評価および改善を行います。又、内部監査責任者を任命して定期的に内部監査を行います。
  4. リスクアセスメント
     当社は、業務上取り扱う情報資産のセキュリティを確保するために、リスクアセスメントにより情報資産の重要性とリスクを分析・評価し適切な対応策を実施します。
  5. 法令順守 
     当社は、著作権法、不正競争防止法に配慮してISMSを構築します。また、守秘義務について顧客企業との契約内容を遵守します。
  6. 教育 
     当社は、全社員に対し情報セキュリティ教育を実施し、意識の向上を計り確実な遵守を行うために定期的、継続的に教育および訓練を行います。
  7. セキュリティインシデント 
     当社は、情報セキュリティインシデントの発生予防に努めます。情報セキュリティ事故が発生した場合には、原因を究明して再発防止策を含め適切な対応および措置を講じます。
  8. 内部監査  
     当社は、内部監査責任者により定期的に内部監査を実施します。内部監査では、ISMSの要求事項が遵守されているかを監査し、不適合が発見された場合は是正措置を講じます。
  9. 罰則 
     当社は、社員がISMS基本方針、ISMSマニュアルおよび内部規定に違反した場合、就業規則の懲戒に基づいた罰則を適用します。


  10. ●情報セキュリティ個別方針


    1.モバイル機器の方針(A6.2.1)
    ・私物のモバイル機器の執務エリアへの持ち込みを禁止します。
    ・情報を格納し持ち出す場合には、申請許可、返却、廃棄記録を実施します。

    2.アクセス制御方針(A9.1.1)
    ・業務で利用するパソコンには必ずパスワードによるセキュリティ対策を実施します。
    ・情報資産は「極秘情報」「社外秘情報」に機密レベルを分類し、各々アクセス権を設定します。
    ・サーバに接続する際のアクセス方法およびアカウントの制限を行います。

    3.クリアデスク・クリアスクリーン方針(A11.2.9)
    ・長期の離席時には自身の机の上に放置せず、原則として所定の施錠できる場所に重要情報を保管します。ドメインセキュリティポリシーによりパスワードロック付きスクリーンセーバーを管理者により設定します。短時間の離席時であっても、極秘情報を使用している場合は盗み見を防止するため、スクリーンロックをかけます。また、定期的に作業場所の整理整頓を実施し、思わぬ情報漏えいの危険を排除します。

    4.情報のバックアップ(A12.3.1)
    ・情報及びソフトウェアのバックアップは、定期的(基本的に毎日)行います。サーバ及びクライアントの情報をファイルサーバへバックアップし、ファイルサーバよりバックアップサーバへバックアップを行う方式とします。

    5.情報転送の方針(A13.2.1)
    ・極秘情報をファイル添付して電子メールにて送信する場合は、「暗号化」「パスワード付き圧縮ファイル」等でセキュリティを保持して添付します。
    ・添付ファイルは、出来るだけPDF等改変できない形式に変換して送受信します。
    ・公共の場所等で機密情報を話すことを禁じます。携帯電話は周りに注意を払って利用します。

    6.セキュリティに配慮した開発のための方針(A14.2.1)
    ・セキュリティに配慮した開発(セキュア開発)の推進を行います。
    ・プロジェクトごとの判断としますが開発環境、試験環境および運用環境は許可されていないアクセスまたは変更によるリスク低減のために分離します。

    7.供給者関係のための情報セキュリティ方針(A15.1.1)
    ・情報若しくは情報処理施設が関係する場合には関係先との契約(秘密保持契約書など)を締結します。

関連情報

    ISO27001認証を取得