ISMS基本方針
株式会社エム・ビー・エー(以下、「当社」という)は、システム設計・構築・運用・管理業務、各種ソフトウェア開発という多岐にわたる分野で、お客様との信頼を築きながらサービスを提供しています。事業を継続していく上で、情報資産、個人情報のセキュリティを守り、お客様および関連する企業、協力会社の安全を確保することは、社会的責務であり、不可欠なことであると認識いたします。 ここに「ISMS基本方針」を定め、情報セキュリティに関わる当社の基本的な取り組みを宣言し、役員、社員および協力会社社員が継続的な情報セキュリティ対策を推進いたします。
1.情報セキュリティマネジメントシステムの目的
情報セキュリティ事故を未然に防止するために、当社はお客様からお預かりした情報資産の消失、盗難、不正使用、漏えいの事故を“ゼロ”件とする事により、企業の社会的責任を遂行し、継続的な顧客サービスの実現を目指します。
2. 適用範囲
本「ISMS基本方針」の適用範囲は、当社が取り扱う情報資産及び情報資産を保護するための設備、ならびに当社に在籍する役員、社員および協力会社社員とします。
3.情報セキュリティの基本原則
3.1 情報セキュリティマネジメントシステムの確立、維持、改善
当社は、情報セキュリティマネジメントシステムを確立し継続的に維持していくため、組織・体制を確立し、定期的な見直しを行い継続的な改善をします。
3.2 リスク分析とリスク評価(リスクアセスメント)
当社は、保護すべき情報資産の管理方法を明確にし、脅威・脆弱性の観点から分析し、それらに対するリスクを評価します。リスクアセスメントの結果にて判明した最重要情報に影響を及ぼすリスクについては最優先に対策を講じます。
3.3 情報セキュリティ規程・法令の順守
当社は、お客様よりお預かりした情報資産および当社の情報資産を脅威から守るため、物理的、人的、技術的セキュリティ対策のバランスがとれた規程類を、関連する法令とともに順守します。また、役員、社員および協力会社社員への適切な教育を実施いたします。
3.4 事業継続管理
当社は、事業の継続に向けた活動を展開し、重大な障害または災害等の影響から業務活動を保護するための対策を講じます。
3.5 情報セキュリティ対策の評価・見直し
当社は、ISMSの有効性、情報資産の評価・見直しを定期的に行い、新たな脅威に対しては対策を講じます。また、定期的に監査を行い情報セキュリティ対策の順守状況を評価します。
個別方針
アクセス制御方針
情報に対するアクセス制御は、責任者を定めて行います。また、許可のないアクセスから可能な限り保護し、利用者ごとにアクセスを制御します。
情報分類方針
すべての情報資産を把握・分類し、適切に取り扱うことを確実にします。
情報のバックアップ方針
災害又は媒体故障の発生の後に、重要な情報及びソフトウェアの回復を確実にするために、定期的にバックアップを実施します。
情報の転送方針
社外に向けファイルを添付しメールする際は暗号化送信を行い、別メールでパスワードの伝達を行う前に送り先の間違いをチェックします。重要な情報が含まれる文書をFAXで送信する際には、送信先に着信を電話等で確認します。
マルウェアからの保護方針
マルウェアから情報を保護するために、予防又は定常作業として、コンピュータ及び媒体を走査(スキャン) するための、マルウェアの検出・修復ソフトウェアの導入及び定期的な定義ファイルの更新を行います。
技術的ぜい弱性の管理方針
利用中の情報システムに関するぜい弱性(セキュリティホール)情報を常に収集、評価してプログラムのパッチを適用します。
暗号による管理策方針
社外への電子ファイルの持出しは暗号化を基本とします。
供給者関係のための情報セキュリティ方針
委託先が当社情報資産を利用したり、アクセスしたりする場合には、当社のISMS要求事項に従うこと等について合意し、秘密保持契約書などを締結します。
媒体の取扱い方針
取り外し可能な媒体はデータに暗号化を施します。重要な情報資産が保管された記憶媒体・紙は、シュレッダーを利用するか破壊、焼却を行い、読み取り不能な状態で廃棄します。
制定年月日 2020年10月1日
株式会社エム・ビー・エー
代表取締役社長 久川 雅志