ここから本文

Top » 情報セキュリティのための方針群

情報セキュリティのための方針群

制定日:2002年10月01日
改訂日:2017年02月20日


通菱テクニカは良識ある企業活動により、社会の信頼を勝ち得て社会に貢献することを目指し努力を重ねている。 高度情報化社会における各種ネットワークの進化、ボーダレス化は企業活動の飛躍的な効率向上を実現しているが、その一方で次のような脅威・不正に直面しなければならない。

① 外部からのウィルス進入、不正アクセスによるネットワークの錯乱、業務の停止および機密情報の窃取
② 無意識あるいは悪意による企業機密漏洩、並びに端末、ネットワークの業務外不正使用・怠業

高度情報化社会の利便性を享受しつつこれらの脅威・不正を未然に防止することが企業活動の安全・安定と更なる発展に必須であることから、ここに「情報セキュリティのための方針群」を設定する。 これらの方針に従って情報システムマネジメントシステム(以降、ISMS)を確立し、運用、監視、見直し、維持、管理および改善を行う。

基 本 方 針

(1) 情報セキュリティの目的

当社の企業活動を安全・安定に進め発展させるため、管理するべき全ての情報(顧客情報を含む)およびその処理設備を含めた情報資産の消失、盗難、不正使用、漏えいを防止することを目的とする。

(2) 情報セキュリティ組織

目的の達成および維持のため、情報セキュリティを企画・管理する部門を設置し、総合的・体系的な情報セキュリティ対策を担当させる。
a) 経営者は、ISMS管理責任者の任命、必要な資源の提供、構築したISMSおよびISMS活動の承認を行う。
b) ISMS管理責任者は、ISMS活動を推進し、各部門のISMS責任者と共にISMSを確立し運用、監視、見直し、維持および改善を図る。
c) 役員を含む全従業員は、情報セキュリティ基本方針およびISMSの規定やマニュアルを順守し行動する。また、一定の情報セキュリティ教育を受講することで、セキュリティ意識の向上を図る。

(3) 情報資産の分類と管理

当社が管理するべき全ての情報(顧客情報を含む)およびその処理設備を含めた情報資産について、保有する情報資産とその責任の所在を明確にする。
分類した情報資産に対して、情報資産価値、リスクに対する脆弱性、事故発生時の被害を明確にし、当社の事業内容および事業規模に見合ったリスクアセスメント手法によりリスク評価する。
リスク評価結果を受け情報資産を保護するための適切な管理策を策定し、それを運用することで情報資産の管理を行う。
なお、リスクアセスメント手法および評価基準については、組織内外の環境変化に応じたリスク変動を考慮し定期的な見直しを行う。

(4) 情報資産に対するセキュリティ

情報資産に対するセキュリティを確保するため、社内施設入退出管理、社内設備アクセス管理、ユーザ認証による情報資産へのアクセス制御等の管理を行う。
また、当社通信システムの安定的運用とセキュリティを確保することを目的として次のことを行う。
a) ウィルス等、不正ソフトの流入を防ぎ、不正アクセス等情報資産の破壊や改竄を防止する。万が一、被害を受けた場合でも、早期回復が図れるようデータのバックアップ等の方策を実施する。
b) 機密情報の漏洩を防止する手順を策定し、実施する。
c) 自然災害による通信システムの被害を最小限抑える方策を設定する。

(5) 事業継続管理

事業の継続性を保証するべく各種セキュリティ災害からの早期復旧を目的として、情報資産およびその利用システムに対する責任の所在を明確化し、復旧体制および復旧処置策を予め設定しておく。

(6) 準拠

この基本方針は、国内および関連する国外の法律並びに国際標準手法(ISO/IEC 27001)に準拠するべく、必要に応じて見直す。

個 別 方 針

(1) モバイル機器の方針

(2) アクセス制御方針

(3) 暗号による管理策の利用方針

(4) クリアデスク・クリアスクリーン方針

(5) マルウェアからの保護方針

(6) 情報のバックアップ方針

(7) 情報転送の方針

(8) セキュリティに配慮した開発のための方針

(9) 供給者関係のための情報セキュリティ方針