人と街の夢にアクセス
わたしたちエービッツでは、お客様のニーズに応えるコンピュータシステムをご提案いたします。

トップページ >  情報セキュリティ方針

情報セキュリティ方針

情報セキュリティ基本方針

1. 目的

 当社は、創業以来、多くのお客様に支えられ、情報システムの開発、運用、保守とソリューション全般をサービスとして提供しております。近年のITの急激な進歩により、ネットワークの拡大と普及、オープン化、グローバル化、及び情報システムとネットワークの複雑化が進み、会社の機密情報やお客様からお預かりした情報は常に漏洩、改ざん、破壊、盗難など様々な脅威に晒されています。そのようななかで、情報資産と個人情報のセキュリティを守り、お客様及び関連する企業様、パートナー様の安全を確保することは、社会的責務であり、事業を継続する上で不可欠なことと認識しております。

 ここに、「情報セキュリティ基本方針」を定め、情報セキュリティに関わる当社の基本的な取り組みを宣言し、当社の業務に携わる役員、社員、及びパートナー会社社員が継続的な情報セキュリティ対策を推進するための基本方針とします。

2. 適用範囲

本基本方針は、事業内容、所在地、資産内容の観点より、データセンター運用管理に関わる業務(ハウジング、ホスティング、データ保管業務、印刷業務、社内サーバ管理)を適用範囲とします。

3. 情報セキュリティの目標

当社の掲げる最終目標は次の通りとします。

  1. 情報セキュリティインシデントを未然に防止し、発生ゼロを目指します。
  2. 情報セキュリティインシデントが発生した場合、被害を最小限にとどめ、規定時間内の復旧と再発防止を目指します。

この目標に対する活動は、ISMS年間計画に定めるものとします。

4. 情報セキュリティマネジメントの構築と実施体制

情報セキュリティマネジメントシステムを構築し、情報セキュリティ推進委員会を設置します。その円滑な推進を図るため推進体制を定め、責任と権限を明確にします。

5. 情報セキュリティ基本原則

  1. アクセス制限の原則
    業務上必要な者のみに情報資産へのアクセス権限を与えることとします。
  2. 情報資産の管理
    情報資産は法令・規制、契約上の要求事項及び当社の定める情報セキュリティの規定に従い管理します。
  3. 情報資産の分類
    情報資産は、資産価値、機密性、完全性、可用性の観点から、それらの重要性に応じて適切に分類し管理することとします。
  4. リスクマネジメント
    リスク評価方法を採用し、事業の特性から最も重要と判断する情報資産についてリスク分析を実施し、適切な対策を実施します。リスク対策については、有効性を測定し効果を評価し、リスクマネジメントの向上を図ります。
  5. 監視
    情報セキュリティマネジメントシステムが適切に管理されていることを、日常の監視体制、定期的な内部監査及び経営者のレビューなどにより継続的な監視活動を実施します。
  6. セキュリティインシデントの対応
    情報セキュリティに関連する事件・事故の速やかな対策をとるとともに、その原因を分析し、再発防止策と予防対策を講じます。
  7. 事業継続管理
    災害や情報システムの故障など重大な事象の発生時において、主要な事業の中断を最小限に抑え、事業の継続を確保します。
  8. 教育・訓練
    全従業員に対し、職務に応じて必要な情報セキュリティ教育及び訓練を実施し、その有効性を確認します。
  9. 規程・手順類の順守
    情報セキュリティマネジメントシステムの規程、手順類を整備し、その順守の徹底を図ります。
  10. 法律上及び契約上の要求事項の順守
    情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を順守します。当社が関係する法令、規則は一覧表にして明確に示し、全従業員の周知を図ります。
  11. 継続的改善
    情報セキュリティマネジメントシステムの継続的な改善に取り組みます。

6. 周知

本基本方針は、全従業員に周知します。

7. 罰則

本基本方針及び情報セキュリティに関連する規程に違反する行為を行った従業員は、就業規則に定めるところにより懲戒を受けることがあります。

8. 見直し

情報セキュリティ基本方針は、毎年見直しを図ります。
事業環境に大きな変化が生じた場合には、本基本方針を適時に見直します。

9. 附則

本基本方針は、2014年5月1日より施行する。

株式会社 エービッツ   

代表取締役社長 青山 康生

制定  :平成26年 5月 1日

最終改訂:令和 4年10月27日

情報セキュリティ個別方針

1. モバイル機器に関する方針

社有機器のみ使用可能とし、私有機器の使用は禁止します。常に機器を携帯し、業務上必要な情報のみを安全な方法で保存して、盗難や紛失に備えて注意を払います。

2. アクセス制御方針

なりすまし、不正アクセスなどを防止するため、個人単位の適切なアクセス権限を設定し、定期的に見直します。入退館管理を導入し、セキュリティ区画へのアクセスを制限します。

3. 暗号による管理策及び暗号鍵の利用方針

個人情報又は重要な秘密情報の送受信や社外への持ち出しを行う際は、暗号化を施し保護します。暗号鍵は関係者間で厳格に管理し、不正アクセスを防止します。

4. クリアデスク・クリアスクリーン方針

パスワード付きスクリーンセーバを設定し、退社時や外出時はPCをシャットダウンします。未使用の機器や文書は適切に保管し、印刷物やFAX送付物は速やかに回収し放置しません。

5. バックアップ方針

業務に必要なデータは定期的にバックアップし、正常動作を確認します。バックアップデータは安全な場所に保管し、データ損失時は復旧手順に従い速やかに復旧します。

6. 情報の転送に関する方針

安全な情報転送を確保するため、適切な手段を選択し、暗号化や送付物の確認などの対策を講じます。送信時は機密性を保ち、受信時は正確性と完全性を確認します。

7. 供給者関係のための情報セキュリティの方針

供給者に対し、契約書や誓約書等でセキュリティ要件を定め、サービス提供状況を定期的に監視し、変更があれば契約やリスク分析を見直します。