情報セキュリティ基本方針

株式会社ディアイティ　情報セキュリティ基本方針

1.　基本方針

　当社の事業のすべては、有効な情報を活用することによって行われている。当社が所有する情報資産はすなわち経営資産そのものであり、事業継続および拡大のために、その機密性、完全性、利用の可能性を確保することが、経営上の重要な課題となる。
　情報資産を適切に維持管理することは、対外的な当社の価値を高めることになり、取引において重要な競争優位性を生むことになる。国際水準を前提とした情報セキュリティ管理策の構築により、国際的に認められる企業価値を確立する。
　とくに、当社は情報セキュリティシステムならびにネットワークシステムを構成する製品の販売と構築を業務としており、これらのシステムはお客様の情報セキュリティシステムのインフラをなすものである。したがって、当社が業務上知り得るお客様の情報はお客様にとって重要な情報が含まれる。これらのお客様情報を適切に取り扱うことは、当社の最重要な責務と考える。また、当社が情報セキュリティ業界のリーダ的な位置に存在することから、当社にとって情報事故は発生してはならないものと考え、最大の努力を実行する。

2.　セキュリティポリシーの定義と役割

　当該セキュリティポリシーは、当社における情報セキュリティの方針を示すものであり、経営者を筆頭にすべての社員に、情報資産の使用権限に応じたセキュリティ管理の義務と責任を割り当てる。また、セキュリティ義務と責任を果たすために必要不可欠かつ適切な情報セキュリティ管理システムを構築し、その維持管理体制を確立する。

3.　セキュリティポリシーの適用範囲

　当該セキュリティポリシーの適用範囲は、当社のすべての組織と業務に関わる情報資産、情報システムおよびそれを扱うものを対象とする。

4.　セキュリティポリシーの構成

　当該セキュリティポリシーは基本方針(*1)、ISMS文書(*2)、規程・ガイドライン(*3)、手順書・マニュアル(*4)から構成される。

5.　情報セキュリティ管理委員会

　情報セキュリティ管理委員会の構成員は、取締役会によって選任される。なお、情報セキュリティ管理委員会には経営陣が参加し、運営を支持する。

6.　セキュリティポリシーの管理体制と責任

　適切なセキュリティレベル維持のために、情報セキュリティ管理委員会は情報セキュリティ管理策および、関連プロシージャの定期的にレビューと評価を行う。また、定期的にセキュリティ監査を実施し、セキュリティポリシーの妥当性を確認する。

7.　セキュリティポリシーの教育管理体制

　業務に関わるすべての人員が情報セキュリティに関して共通の概念を持ち、適切な対応を可能とするために、セキュリティポリシー教育を定期的に行う。新人教育時のみではなく、定期的な教育・訓練を行うことで、当該セキュリティポリシーの周知徹底を図る。

8.　リスクマネジメント方針

　当社の情報資産を適切な手順で保護するためにリスクアセスメントを実施し、リスクを特定し対応する。リスクマネジメントは定期的なものだけでなく、内的外的環境の変化に的確に対応できるように実施し、安全レベルを維持するように努める。

9.　適合性

　当社はコンプライアンス・プログラムを確立し、法的要件、各種ガイドラインならびに契約を遵守する。

10. 業務継続計画

　当該セキュリティポリシーは情報セキュリティ以外のインシデントとの整合性を図り、業務継続に支障のない管理策を講じる。

11. 遵守義務と罰則

　当該セキュリティポリシーでは、適用範囲で規定したすべてのものにその遵守を義務づける。また、セキュリティポリシーおよび関連する手順書・マニュアルを違反したものには、原則として罰則を課す。基本罰則は教育的指導および権限の移動とするが、個人の責任によって、情報セキュリティに重要な影響を与える行為、個人のプライバシー侵害に該当する行為、資産損失を招く悪質な行為を犯した場合には、取締役会で協議の上、職務規定上の処分を課す。

12. 例外事項

　危機管理規定で想定している脅威が実現したとき、セキュリティリスクを軽減する目的でセキュリティポリシー違反となる行為に至る場合は、その遵守義務を免除するものとする。また、セキュリティポリシー遵守によってビジネス損失がさけられない場合においても、情報セキュリティ管理委員会の許可の下に、改善措置が取られるまでの間、例外措置を設定することができる。

13. セキュリティポリシーの維持・管理

　当該セキュリティポリシーは情報セキュリティ管理委員会で策定され、独立したレビューによって、維持管理する。