情報セキュリティ方針

情報セキュリティ方針

 株式会社エスエスアイ(以下「当社」)は、お客様及び取引先の企業様から重要な情報資産をお預かりし、システム開発を提供しております。保有する情報資産を漏洩、改竄、破壊、紛失、不正アクセス等の脅威から守り、リスクを最小限に抑え保護し、情報セキュリティを継続的に維持・改善することが、当社の重要な経営課題の一つとして実施致します。当社はお客様及び取引先の企業様の信頼に応えるため、情報資産の機密性・完全性・可用性の向上に努め下記「情報セキュリティ方針」、「個別方針」から構成された情報セキュリティ方針群を常に実践致します。

情報セキュリティ方針

  • 当社が保有する情報資産を脅威から適切に保護し、
    情報セキュリティの水準を継続的に維持することを目的とします。

  • エンタープライズ事業部を適用範囲とし、
    その情報資産を取り扱うすべての社員を対象者とします。

  • 情報資産を取り扱う社員は、情報セキュリティの重要性について共通の認識を持ち、当社就業規則や情報セキュリティに関する法令等を遵守するものとします。また、お客様及び取引先の企業様へ常駐する社員は上記に加え、常駐先の規則を遵守します。

  • 当社は、情報セキュリティに対する管理体制を整備し、
    情報資産のセキュリティ対策を推進します。

  • 当社が保有する情報資産に対し、機密性・完全性・可用性の3つの基準に基づき分類し、重要度に応じリスクアセスメントを確立し保護します。

  • 情報資産の取り扱いにあたり、人的・物理的・技術的セキュリティ及び運用面から総合的にセキュリティ対策を講じます。上記を講じるため、社員のセキュリティ教育や訓練、入退室管理や電子機器に対するアクセス制御、ウィルス対策等を実施します。

  • 情報セキュリティインシデントに対し、事象及び原因の報告・対処の手順を確立し、一貫性を持って迅速かつ効果的に対応できるよう管理します。

  • 災害・故障・過失などの偶発的に発生する事故や業務妨害、情報資産の悪用による事業の中断を許容レベルに抑え、事業の継続を確保します。

  • 当情報セキュリティ方針の遵守状況の点検・評価を
    定期的に監査し、見直しを実施します。

個別方針

  • 当社内への入退出は、セキュリティ区画に応じ、許可した者のみ入域可能とすることで情報資産の安全を確保します。情報システム及びファイルへのアクセス権限を明確にし、不正なアクセスを制御します。

  • コンピューターウィルス等、悪質なソフトウェア及びこれらを用いた攻撃から情報システムを防護します。また、社外へ持ち出す際もその都度ウィルス検査を実施し、拡大防止を図ります。対策は常に最新状態に保ち、新しいウィルスの脅威から情報資産を守ります。

  • 当社の機密性を要する情報をPC端末や外部記憶媒体で持ち出す場合は、暗号化とパスワード設定によるアクセス制御を施します。お客様及び取引先の企業様から預かる情報資産のうち、機密情報と認める情報を電子媒体で授受する場合、パスワードの設定または暗号化を実施して頂くようにします。

  • 机上に重要な情報や秘密情報を含む書類を放置しないようにします。PC端末を使用中に席を離れる際は、ログオフするようにし、PC端末にはスクリーンセーバーの設定やスリープもしくはシステムスタンバイの設定をするなどの保護対策を実施します。重要な情報や秘密情報を印刷した場合、出力後プリンタに放置せず、速やかに取り除きます。

  • 社内秘密情報に関するデータの管理は、定期的にサーバー内のデータをバックアップし、そのログ管理を行います。障害時に迅速に対応できるようリカバリの実施手順を明確にして管理します。

  • 電子メールは秘匿性がないことに留意し、機密性を要する情報の通信には、可能な限り使用しません。機密性を要する情報を電子メールで送付する際は、パスワード付の圧縮ファイルで送信し、パスワードは添付ファイルと別のメールもしくは別の手段で伝達します。

  • 供給者などの外部の関係者が当社の情報資産を利用したり、アクセスしたりする場合には当社の情報セキュリティ方針に従うことを合意し、機密保持契約書などを締結します。