SECURITY
ISMS認証
お客様に安心・信頼いただける
企業をめざします。
株式会社エスエスアイは、2012年11月に情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001:2005の認証を取得しました。
今後も当社情報セキュリティ基本方針に則り、継続してISMSの改善に取り組み、お客様並びに当社の情報資産を様々な脅威から保護し、適切な安全対策を講じて安定した企業活動に努め、さらにお客様に安心・信頼いただける企業を目指します。
登録内容Registration details
- 登録許可番号
- JQA-IM1058
- 登録日
- 2011年11月25日
- 登録事業者
- 株式会社エスエスアイ
- 登録範囲
- 愛知県名古屋市中区 3-5-31 オーキッドプレイス名古屋錦ビル 7F
顧客要求事項に基づく受託ソフトウェアの社内における設計・開発・提供 - 適用規格
- ISO/IEC 27001:2013 / JIS Q 27001:2014
- 認証登録期間
- 一般社団法人 日本品質保証機構
POLICY
情報セキュリティ方針群
株式会社エスエスアイ(以下「当社」)は、お客様及び取引先の企業様から重要な情報資産をお預かりし、システム開発を提供しております。
保有する情報資産を漏洩、改竄、破壊、紛失、不正アクセス等の脅威から守り、リスクを最小限に抑え保護し、情報セキュリティを継続的に維持・改善することが、当社の重要な経営課題の一つとして実施致します。
当社はお客様及び取引先の企業様の信頼に応えるため、情報資産の機密性・完全性・可用性の向上に努め下記「情報セキュリティ方針」、「個別方針」から構成された情報セキュリティ方針群を常に実践致します。
情報セキュリティ方針Information Security Policy
-
01.登録内容
当社が保有する情報資産を脅威から適切に保護し、情報セキュリティの水準を継続的に維持することを目的とします。
-
02.適用範囲
顧客要求事項に基づく受託ソフトウェアの設計・開発を対象とします。
-
03.社員の義務
情報資産を取り扱う社員は、情報セキュリティの需要性について共通の認識を持ち、当社就業規則や情報セキュリティに関する法令等を遵守するものとします。また、お客様及び取引先の企業様へ常駐する社員は上記に加え、常駐先の規則を遵守します。
-
04.管理体制
当社は、情報セキュリティに対する管理体制を整備し、
情報資産のセキュリティ対策を推進します。 -
05.情報資産の保護
当社が保有する情報資産に対し、機密性・完全性・可用性の3つの基準に基づき分類し、重要度に応じリスクアセスメントを確立し保護します。
-
06.セキュリティ対策
情報資産の取り扱いにあたり、人的・物理的・技術的セキュリティ及び運用面から総合的にセキュリティ対策を講じます。上記を講じるため、社員のセキュリティ教育や訓練、入退室管理や電子機器に対するアクセス制御、ウィルス対策等を実施します。
-
07.情報セキュリティ
インシデント管理情報セキュリティインシデントに対し、事象及び原因の報告・対処の手順を確立し、一貫性を持って迅速かつ効果的に対応できるよう管理します。
-
08.事業継続管理
災害・故障・過失などの偶発的に発生する事故や業務妨害、情報資産の悪用による事業の中断を許容レベルに抑え、事業の継続を確保します。
-
09.評価・見直し
当情報セキュリティ方針の遵守状況の点検・評価を
定期的に監査し、見直しを実施します。
個別方針Individual Approach
-
01.アクセス制御
当社内への入退出は、セキュリティ区画に応じ、許可した者のみ入域可能とすることで情報資産の安全を確保します。情報システム及びファイルへのアクセス権限を明確にし、不正なアクセスを制御します。
-
02.ウイルス対策
コンピューターウィルス等、悪質なソフトウェア及びこれらを用いた攻撃から情報システムを防護します。また、社外へ持ち出す際もその都度ウィルス検査を実施し、拡大防止を図ります。対策は常に最新状態に保ち、新しいウィルスの脅威から情報資産を守ります。
-
03.情報の暗号化
当社の機密性を要する情報をPC端末や外部記憶媒体で持ち出す場合は、暗号化とパスワード設定によるアクセス制御を施します。お客様及び取引先の企業様から預かる情報資産のうち、機密情報と認める情報を電子媒体で授受する場合、パスワードの設定または暗号化を実施して頂くようにします。
-
04.クリアデスク・
クリアスクリーン机上に重要な情報や秘密情報を含む書類を放置しないようにします。PC端末を使用中に席を離れる際は、ログオフするようにし、PC端末にはスクリーンセーバーの設定やスリープもしくはシステムスタンバイの設定をするなどの保護対策を実施します。重要な情報や秘密情報を印刷した場合、出力後プリンタに放置せず、速やかに取り除きます。
-
05.バックアップ
社内秘密情報に関するデータの管理は、定期的にサーバー内のデータをバックアップし、そのログ管理を行います。障害時に迅速に対応できるようリカバリの実施手順を明確にして管理します。
-
06.情報の転送
電子メールは秘匿性がないことに留意し、機密性を要する情報の通信には、可能な限り使用しません。機密性を要する情報を電子メールで送付する際は、パスワード付の圧縮ファイルで送信し、パスワードは添付ファイルと別のメールもしくは別の手段で伝達します。
-
07.供給者関係の
情報セキュリティ供給者などの外部の関係者が当社の情報資産を利用したり、アクセスしたりする場合には当社の情報セキュリティ方針に従うことを合意し、機密保持契約書などを締結します。