情報セキュリティ(ISO27001)
ISO27001 基本方針
プロフェース・システムズは、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001:2013,JISQ27001:2014に準拠した「情報セキュリティマネジメントシステム(以下、「ISMS」という。)」を構築し、以下の基本方針のもとに情報セキュリティの確保に努めております。
目的
近年の情報技術の進歩は、社会の利便性を高めると同時に、一方で情報の氾濫や情報に対する不正アクセスなどのリスクを高めています。このような状況において、当社は、情報を適切に取り扱い保護することが企業としての社会的責務であり、事業活動の基本であると考えます。
また、お客様から信頼される情報処理企業として、お客様情報のセキュリティに関するインシデントの防止を図ることにより、お客様の信頼確保及び事業損失を最小限に留めることを社内の最重要課題として捉えます。
よって、当社は情報セキュリティの重要性を鑑み、当社業務に係る情報セキュリティを適切に実現及び管理・運営していくことを目的とし、本方針を設定します。
情報セキュリティの定義
情報セキュリティとは、機密性、完全性及び可用性を確保し維持することをいう。- 機密性:許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は、非公開にする特性。(情報を漏えいや不正アクセスから保護すること。)
- 完全性:資産の正確さ及び完全さを保護する特性(情報の改ざんや間違いから保護すること。)
- 可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。(情報の紛失・破損やシステムの停止などから保護すること。)
情報セキュリティの目標
当社の掲げる最終目標は次の通りとします。- 情報セキュリティインシデントを未然に防止し、発生ゼロを目指します。
- 情報セキュリティインシデントが発生した場合、被害を最小限にとどめ、規定時間内の復旧と再発防止を目指します。
情報セキュリティマネジメントシステムの構築と実施体制
情報セキュリティマネジメントシステムを構築し、情報セキュリティ管理責任者を任命し、情報セキュリティ委員会を設置します。その円滑な推進を図るため推進体制を定め、責任と権限を明確にします。
情報セキュリティ基本原則
- アクセス制限の原則 業務上必要な者のみに情報資産へのアクセス権限を与えることとします。
- 情報資産の管理 情報資産は法令・規制、契約上の要求事項及び当社の定める情報セキュリティの規定に従い管理します。
- 情報資産の分類 情報資産は、資産価値、機密性、完全性、可用性の観点から、それらの重要性に応じて適切に分類し管理することとします。
- リスクマネジメント リスク評価方法を採用し、事業の特性から最も重要と判断する情報資産についてリスク分析を実施し、適切な対策を実施します。リスク対策については、有効性を測定し効果を評価し、リスクマネジメントの向上を図ります。
- 監視 情報セキュリティマネジメントシステムが適切に管理されていることを、日常の監視体制、定期的な内部監査及び経営者のレビューなどにより継続的な監視活動を実施します。
- セキュリティインシデントの対応 情報セキュリティに関連する事件・事故の速やかな対策をとるとともに、その原因を分析し、再発防止策と予防対策を講じます。
- 事業継続管理 災害や情報システムの故障など重大な事象の発生時において、主要な事業の中断を最小限に抑え、事業の継続を確保します。
- 教育・訓練 全従業員に対し、職務に応じて必要な情報セキュリティ教育及び訓練を実施し、その有効性を確認します。
- 規定・手順類の順守 情報セキュリティマネジメントシステムの規定、手順類を整備し、その順守の徹底を図ります。
- 法律上及び契約上の要求事項の順守 情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を順守します。当社が関係する法令、規則は一覧表にして明確に示し、全従業員の周知を図ります。
- 継続的改善 情報セキュリティマネジメントシステムの継続的な改善に取り組みます。
周知
本基本方針は、全従業員に周知します。- 実施事項
- 適用範囲の全ての情報資産を脅威(漏えい、不正アクセス、改ざん、紛失・破損)から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善するものとする。
- 情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守するものとする。
- 重大な障害または災害から事業活動が中断しないように、予防及び回復手順を策定し、定期的な見直しをするものとする。
- 情報セキュリティの教育・訓練を適用範囲すべての社員に対して定期的に実施するものとする。
- 責任と義務及び罰則
- 情報セキュリティの責任は、代表取締役が負う。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供するものとする。
- 適用範囲のスタッフは、お客様情報を守る義務があるものとする。
- 適用範囲のスタッフは、本方針を維持するため策定された手順に従わなければならないものとする。
- 適用範囲のスタッフは、情報セキュリティに対する事故及び弱点を報告する責任を有するものとする。
- 適用範囲のスタッフが、お客様情報に限らず取り扱う情報資産の保護を危うくする行為を行なった場合は、社員就業規則に従い処分を行なうものとする。
- 定期的見直し本基本方針は、毎年見直しを図ります。ただし、事業環境に大きな変化が生じた場合には、本基本方針を適宜見直します。
ISO27001 認証登録範囲
株式会社 プロフェース・システムズ- システム開発業務
- ブリッジSE育成、派遣業務
- 日中進出コンサルティング業務
- 自社製品サービス提供業務
ISO27001 認証登録番号
認証登録番号:491577 ISMS13
ISO27001 登録日
2013年1月23日認証登録
審査機関
UL DQS Japan 株式会社以上
制定日:2012年09月18日
更新日:2019年01月23日
代表取締役社長 田 一輝
ご相談・お問い合せ
株式会社プロフェース・システムズ 管理本部
〒103-0015 東京都中央区日本橋箱崎町18-11 COSMO8-4F
TEL: 03-5643-7768
FAX: 03-5643-7769
EMAIL: info@proface-sys.com
ISO27001 認証登録証
