情報セキュリティー
基本方針

当社は、各種脅威から情報資産を守り、かつ社会的使命を果たすために、情報セキュリティに関して以下の取り組みを実施します。

  • 情報セキュリティに関連して施行される法令や国が定める指針およびその他の規範並びに契約上の情報セキュリティを遵守します。
  • 情報セキュリティの維持・向上のために規則、体制等を整備し、情報セキュリティマネジメントシステムを構築・運用します。
  • 情報技術の進歩、社会環境および法令の変化などに対応し、情報セキュリティマネジメントシステムの継続的な見直し・改善を行います。
  • 情報資産をその重要性とリスクに応じて識別・評価し、適正な情報セキュリティ対策を講じます。
  • 当社業務に従事するすべての者が本基本方針を含む情報セキュリティマネジメントシステムを理解・共有すべく、教育の実施等周知徹底を図ります。

個別方針

アクセス制御

不正行為、なりすまし、不正アクセスなどを予防するために、ユーザーアカウントを適切に管理いたします。

情報分類

当社のISMS適用範囲で使用する情報資産を適切に管理するため、使用する情報資産を洗出し、その重要度に応じた、管理策を選択し、実施する。 管理策を適切に実施するため、対象となる情報資産の責任者を明確にし、重要度に応じたラベリングや取り扱いの許容範囲の設定などを、実施する。 情報資産をISMS適用範囲外に持ち出す際の認可プロセスを確立し、実施する。

物理的及び環境的セキュリティー

情報資産を保護するために必要な施設及び情報資産に対する不正アクセスを防止するために、物理的セキュリティレベルを定め、そのレベルに従った入退管理策や、火災、洪水、地震、爆発、暴力行為及びその他の自然災害又は人的被害からの物理的な保護対策を実施する。 セキュリティレベルの高い境界内での不正作業や誤作業を防止するための対策を実施する。 パソコンやサーバー等の装置及び装置の稼働を維持するために必要な電源、ケーブル等の設備全般に対して、環境上の脅威、災害、不正アクセスなどから保護するための対策を実施する。 装置をISMS適用範囲外に持ち出す際の認可プロセスを確立し、実施する。また、持ち出した際の外部での使用におけるリスクを識別し、適切な対策を実施する。 装置の処分(廃棄)及び再利用可能な装置等は、その情報資産が不適切に使用されることを防止するため、確実に消去する手順を確立し、実施する。

エンドユーザー関連のトピック

○資産利用の許容範囲
情報資産を適切に管理するため、使用する情報資産を洗出し、その重要度に応じた、管理策を選択し、実施する。 管理策を適切に実施するため、対象となる情報資産の責任者を明確にし、重要度に応じたラベリングや取り扱いの許容範囲の設定などを、実施する。
また、全ての関係者は、与えられた権限や貸与物が変更・削除又は返却されるように、責任者を明確にし、確実に実施される仕組みを確立し、実施する。

○クリアデスク
オフィス業務における情報漏えいを防止するためにクリアデスクを徹底し、パソコンの不正な操作や盗み見を防止するためにクリアスクリーンを徹底します。

○モバイル機器
モバイル機器の利用については、社内利用時、持ち出し時、社外利用時等において、管理ルールを確立し運用する。

○テレワーク
テレワークにおける業務と、情報資産の取り扱いに係る適切なリスク管理を行います。

○ソフトウェアのインストール及び使用制限
不正行為又は誤作業等に起因する情報セキュリティインシデントの発生を未然に防ぐために、対策方針に従って、環境を整備し、規則を策定して、プロセスを実施する。 情報システムの実装にあたって、情報セキュリティ要件を満たすことを確実にする。 インターネットを介して利用するアプリケーションサービス(電子商取引など)を利用する場合は、そのリスクを認識し、適切な対策を確立し、実施する。

バックアップ

情報の完全性、可用性を保護するために、情報資産のバックアップを管理します。

情報転送

業務上の情報交換では“ひとり一人が責任を持つ”ことを共通のポリシーとし、情報の移動、受け渡し時等における情報資産の取り扱いを管理します。

マルウェアからの保護

コンピュータウイルス・モバイルコードによる被害を予防、または、被害を最小限に食い止めるために、業務に使用するパソコンにウイルス対策ソフトを常駐させ、システム部門が管理します。

暗号による管理

機密情報を持ち出すあるいは送信する場合は情報の機密性、真正性を保護するために暗号化することを徹底し管理ルールに従い運用する。

通信のセキュリティ

あらゆる情報交換(物理的配送、電子メールなど)において、リスクを認識し、適切な対策を確立し、実施する。 認可されていない情報処理活動の検知及び障害時の対策に使用するため、システム使用状況や作業ログ、障害ログなどを適切に取得し、ログに対する不正アクセスからの保護及び適切な期間の保持を実施する。

個人情報保護

別途個人情報保護方針

供給者関係

開発委託先や各種サービス提供者とセキュリティリスクを考慮し秘密保持契約書等の締結を行う。

制定日 2022年8月1日
スマカン株式会社
代表取締役 唐沢 雄三郎

  • bsi ISO Logo
  • プライバシーマーク取得

スマカンの導入をご検討の方へ
実際の画面が見られる
デモを実施中!

まずは、無料でお試ししてみませんか?

導入をご検討中のお客様

登録後、最短1営業日で
全ての機能を
お試しできます!
お気軽にお問い合わせください