株式会社ディアイティはサイバーセキュリティとネットワークの企業

会社案内

情報セキュリティポリシ

株式会社ディアイティ 情報セキュリティ基本方針

発行:2004年 12月13日
改訂:2018年 9月25日
株式会社ディアイティ
代表取締役社長 戸田 勝

1. 基本方針

当社の事業のすべては、有効な情報を活用することによって行われています。当社が所有する情報資産はすなわち経営資産そのものであり、事業継続および拡大のために、その機密性、完全性、利用の可能性を確保することが、経営上の重要な課題です。
情報資産を適切に維持管理することは、対外的な当社の価値を高めることになり、取引において重要な競争優位性を生むことになります。国際水準を前提とした情報セキュリティ管理策の構築により、国際的に認められる企業価値を確立します。
とくに、当社は情報セキュリティシステムならびにネットワークシステムを構成する製品の販売と構築を業務としており、これらのシステムはお客様の情報セキュリティシステムのインフラをなすものです。したがって、当社が業務上知り得るお客様の情報はお客様にとって重要な情報が含まれています。これらのお客様情報を適切に取り扱うことは、当社の最重要な責務です。
また、当社が情報セキュリティ業界のリーダ的な位置に存在することから、当社にとって情報事故は発生してはならないものと考え、最大の努力を実行します。


2. セキュリティポリシの定義と役割

当該セキュリティポリシは、当社における情報セキュリティの方針を示すものであり、経営者を筆頭にすべての社員に、情報資産の使用権限に応じたセキュリティ管理の義務と責任を割り当てます。
また、セキュリティ義務と責任を果たすために必要不可欠かつ適切な情報セキュリティ管理システムを構築し、その維持管理体制を確立します。


3. セキュリティポリシの適用範囲

当該セキュリティポリシの適用範囲は、当社のすべての組織と業務に関わる情報資産、情報システムおよびそれを扱うものを対象とします。


4. セキュリティポリシの構成

当該セキュリティポリシは基本方針(*1)、ISMS文書(*2)、規程・ガイドライン(*3)、手順書・マニュアル(*4)から構成されます。


5. 情報セキュリティ管理委員会

情報セキュリティ管理委員会の構成員は、取締役会によって選任されます。なお、情報セキュリティ管理委員会には経営陣が参加し、運営を支持します。


6. セキュリティポリシの管理体制と責任

適切なセキュリティレベル維持のために、情報セキュリティ管理委員会は情報セキュリティ管理策および、関連プロシージャについて定期的にレビューと評価を行います。
また、定期的にセキュリティ監査を実施し、セキュリティポリシの妥当性を確認します。


7. セキュリティポリシの教育管理体制

業務に関わるすべての人員が情報セキュリティに関して共通の概念を持ち、適切な対応を可能とするために、セキュリティポリシ教育を定期的に行います。新人教育時のみではなく、定期的な教育・訓練を行うことで、当該セキュリティポリシの周知徹底を図ります。

8. リスクマネジメント方針

当社の情報資産を適切な手順で保護するためにリスクアセスメントを実施し、リスクを特定し対応します。リスクマネジメントは定期的なものだけでなく、内的外的環境の変化に的確に対応できるように実施し、安全レベルを維持するように努めます。


9. 適合性

当社はコンプライアンス・プログラムを確立し、法的要件、各種ガイドラインならびに契約を遵守します。


10. 業務継続計画

当該セキュリティポリシは情報セキュリティ以外のインシデントとの整合性を図り、業務継続に支障のない管理策を講じます。


11. 遵守義務と罰則

当該セキュリティポリシでは、適用範囲で規定したすべてのものにその遵守を義務づけます。
また、セキュリティポリシおよび関連する手順書・マニュアルを違反したものには、原則として罰則を課します。基本罰則は教育的指導および権限の移動としますが、個人の責任によって、情報セキュリティに重要な影響を与える行為、個人のプライバシー侵害に該当する行為、資産損失を招く悪質な行為を犯した場合には、取締役会で協議の上、職務規定上の処分を課します。


12. 例外事項

危機管理規定で想定している脅威が実現したとき、セキュリティリスクを軽減する目的でセキュリティポリシ違反となる行為に至る場合は、その遵守義務を免除するものとします。
また、セキュリティポリシ遵守によってビジネス損失がさけられない場合においても、情報セキュリティ管理委員会の許可の下に、改善措置が取られるまでの間、例外措置を設定することができます。


13. セキュリティポリシの維持・管理

当該セキュリティポリシは情報セキュリティ管理委員会で策定され、独立したレビューによって、維持管理します。



(*1) 基本方針とは本書を指す
(*2) 情報セキュリティマネジメントシステム(ISMS)を運用するための文書
(*3) 基本ポリシーを遵守するために規定した具体的な管理策を示す文書
(*4) 規程・ガイドラインの中から、対象となる業務遂行者や業務内容に適応したセキュリティ規定を定義した文書群