情報セキュリティ基本方針
最終更新日: 2018/11/28 10:49am
第1条 目的
この文書は、イー・レンジャー株式会社(以下、「会社」という。)の情報セキュリティの拠り所として位置づけるものである。
第2条 基本声明
この情報セキュリティ基本方針(以下、「基本方針」という。)の趣旨は、内部的であるか外部的であるか、故意であるか偶発的であるかを問わないすべての脅威から、会社、顧客および協力会社(以下、「取引先」という)が保有する情報資産を保護することにある。
「顧客」とは会社と契約を締結している顧客をさす。
「協力会社」とは会社と契約により労役を提供する個人ないし業者をさす。
第3条 情報セキュリティの定義
情報セキュリティとは、機密性・完全性・可用性を保護し維持することを言う。
機密性・完全性・可用性とは次のような意味を持つ。
(1) 機密性とは、アクセスを認可された者だけが、情報にアクセスできることを確実にすることをさす。
(2) 完全性 とは、情報および処理方法が正確であること及び完全であることを保護することをさす。
(3) 可用性とは、認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすることをさす。
第4条 情報セキュリティの目的と要求事項
1.会社と取引先との取引において情報セキュリティを維持・向上するために、この基本方針を遵守し、改善余地(脆弱性)のあるものに対し改善しその完全性を実証することが情報セキュリティの目的である。
2.会社の基本方針は下記の要求事項を確実に遵守することである。
(1) 当社が保有する情報資産を認可されていない第三者アクセスから保護すること
(2) 当社が保有する情報資産が認可されていない第三者に故意または不注意な行為を通して開示されないこと
(3) 認可されていない第三者アクセスの修正から保護した情報資産の完全性を保つこと
(4) 当社が保有する情報資産の機密性を維持すること
(5) 許可された利用者が必要な時に情報を利用できるようにすること
(6) コンプライアンス規定の定めるところにより法規制を遵守すること
(7) 人災、天災によっても事業が継続できるように計画を策定し実施すること
(8) 情報セキュリティ教育・訓練を全従業員に対して定期的に実施すること
(9) 情報セキュリティの違反とその疑いのある弱点が責任者(第5条)にすべて報告され調査されること
(10) 責任者(第5条)に報告された事項は迅速に社長に報告されること。
第5条 情報セキュリティ管理責任者の設置
1.会社は情報セキュリティ管理責任者(以下、「責任者」という)をおく。
2.責任者は原則として代表取締役とするが、適切な資格、能力を有する従業員1名にそれを委任することができる。
3.前条第1項のため、責任者は役員・社員・パート・アルバイト労働者(以下、「従業員」という。)の全員と協力会社に対し、セキュリティの重要性と意識の向上を図らなければならない。
第6条 適用範囲
1.適用範囲は全従業員とする。
2.情報資産としては、全従業員及び協力会社がアクセスする全情報資産を適用範囲とする。
3.設備としては、会社に所属するの全ての設備、会社名義で契約を締結している外部サーバー及び、業務委託契約を締結している顧客の契約名義による外部サーバーを適用範囲とする。
第7条 セキュリティ基本方針
1.情報資産の脆弱性及び情報資産をリスクにさらす恐れのある脅威を管理するために、すべての従業員は、適切に情報資産の価値を特定できなければならない。
2.すべての従業員は定期的/非定期的に情報セキュリティについてレビューを行い、改善すべき点を改善することにより、リスクを許容可能な水準に維持しなければならない。
3.すべての従業員及び協力会社は、別に定める情報セキュリティに関連する契約条件を遵守しなければならない。
4.すべての従業員は、就業規則(パートタイム、アルバイト労働者においては「パートタイム労働者就業規則」)を遵守しなければならない。
5.すべての従業員及び協力会社は、基本方針に基づいて規定した規則を遵守しなければならない。
6.すべての従業員はコンプライアンス規定の定めるところによる法規制を遵守しなければならない。
第8条 責任と義務
1.責任者は、定期的/非定期的に監査を行い、基本方針が遵守されているか確認する。
2.責任者は、適切な基準及び実施手順に基づき、基本方針の実施を促進しなければならない。
3.すべての従業員及び協力会社は、基本方針を維持するために策定された手順に従わなければならない。
4.すべての従業員及び協力会社は、情報セキュリティに関係する事件事故及び第7条2項にて特定された情報セキュリティのリスク、弱点を、セキュリティ管理責任者へ報告する責任を要する。
第9条 罰則
会社ないし取引先の情報資産の保護を危うくする故意の行為を行った場合は、就業規則第53条(パートタイム・アルバイト労働者においてはパートタイム労働者就業規則第50条)の定めるところにより懲戒処分の対象となる
附 則
この規定は平成27年10月1日から施行する。