当社は情報セキュリティおよび情報資産の取扱いについて、以下のとおり情報セキュリティ方針を定めます。
目的
セキュリティに関するインシデントの防止を図ることにより、顧客からの信頼の確保及び、事業損失を最小限に留めることを目的とします。
実施事項
1. 情報資産を脅威(漏えい、不正アクセス、改ざん、紛失・破損)から保護するために、目的および、情報セキュリティに沿った、運用、監視を行い、適宜見直し、維持及び改善を行うものとします。
2.情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守します。
3.重大な障害または災害から事業活動が中断しないように、予防及び回復手順を随時策定し、策定した手順について、定期的な見直しをします。
4.情報セキュリティの教育・訓練を適用範囲すべての社員等に対して随時実施します。
5.個人情報の取り扱いについては特に別途プライバシーポリシーを定め、関連法令とともに、これを遵守します。
運用
1. 管理体制情報セキュリティ管理責任者を選任・設置するとともに、情報セキュリティ委員会を組織し、全社的な情報セキュリティ対策および継続的な改善を迅速に実施します。
2. 内部規定の整備内部規程を整備し、情報資産全般の取り扱いについて明確な方針を示すとともに、それが取り扱いに適切に反映されるように手順等も整備し、これを周知徹底します。
3. 監査の実施監査責任者を選任・設置し、方針・規程・手順への準拠を担保するとともに、監査自体の有効性を確保するため、監査実施者と非監査部門の職務の分離を徹底します。
4. 教育の定期的な実施と効果の確認外部委託による業務従事者を含めた従業員にセキュリティ教育・訓練を定期的に実施し、当社の情報セキュリティ方針が形骸化することがないように努めます。また、教育と訓練に対して適切な効果測定を実施します。