情報セキュリティ基本方針

Information security policy

1.目的

当社の重要な情報資産を安全かつ効率良く活用・維持するため、情報セキュリティ管理システム(Information Security Management System:以下ISMS)を構築し、当社の経営資源である情報資産をあらゆる脅威から保護するために必要な情報セキュリティの確保を目的としてシステムとマネジメントの両面から防衛に取り組むこととする。
本情報セキュリティ基本方針は、当社の情報資産を利用する全ての者が、情報セキュリティを確保するにあたって遵守すべき基本的な指針を定めたものである。

2.目標

当社は、情報セキュリティのリスクアセスメントに基づく対策を実施し、かつ情報セキュリティの水準を維持するとともに継続的に改善し、向上することを目標とする。

3.適用範囲

本情報セキュリティ基本方針は、当社の「運用・監視業務、自社開発製品・パートナー製品に関するサポート業務、構築・運用・保守業務」を担う「技術統括 IOTソリューション部 プロダクトサポート第1グループ、プロダクトサポート第3グループ」の情報資産を対象とし、それらを取り扱うすべての役員及び従業員に適用される。

4.情報セキュリティの組織

当社は、情報セキュリティ維持のための最高決定機関として、情報セキュリティ統括責任者(役員クラス)を委員長とする情報セキュリティ委員会をもうける。情報セキュリティ委員会は、情報セキュリティ統括責任者及び情報セキュリティ対策室長から構成され、情報漏洩等に係わる危機管理及びセキュリティ全般に関わる全社的な方針を決定する。
情報セキュリティ委員会の下に実質的な情報セキュリティ事項を総括する情報セキュリティ対策室を設ける。対策室は対策室長と各部門の情報セキュリティ責任者から構成され、情報セキュリティ関連文書の作成、改訂、廃棄の審議並びにそれらに関連する重要事項の決定等を行い、関係部署への通達、調整を行う。また、各部門における遵守状況の監視を行う。

5.情報資産の管理と分類

各役員及び従業員は、当社で取り扱う全ての情報資産を適切に取り扱わなければならならず、各部門の情報セキュリティ責任者は、それらの情報資産を適切に管理しなければならない。また、情報資産はその内容により分類され、重要度に応じて適切に管理される。

6.情報資産の取扱い

当社は、情報資産に対する閲覧権限を与えられた者のみが、その情報資産の内容を閲覧することを認め、情報資産に対する変更権限を与えられた者のみが、その情報資産の内容を変更することを認める。また、各情報セキュリティ責任者は、適切に権限を与えられた者が、いつでも閲覧もしくは変更を行えるよう、情報資産を適切に管理する。

7.監視・監査

各情報セキュリティ責任者は、情報資産が適切に管理されているかどうかを常に監視する。また、情報セキュリティ関連ガイドライン等に基づき情報資産の管理が適切に行われているかについて、内部監査又は第三者による監査を定期的に受ける必要がある。

8.事故報告

情報セキュリティに関連する事故が発生した場合又は発生するおそれが生じた場合には、発見者は速やかに情報セキュリティ対策室及び情報セキュリティ責任者にその内容を直ちに報告しなければならない。情報セキュリティ対策室は、事故原因の分析を実施し、必要があると判断した場合は、事業継続計画等に沿って速やかに対策を講じる。
情報セキュリティ統括責任者が重大事故と判断した場合には、経営者に報告し対策を講ずる。

9.教育・訓練

情報セキュリティ委員会は、当社のすべての従業員に、職務に応じて必要な情報セキュリティの教育・訓練を定期的に計画し実施する。

10.法令遵守

当社の役員及び従業員は、情報セキュリティに係わる法的要求事項及び当社の規定を遵守する。

11.罰則

情報システムを利用する全ての従業員は、当社ISMSを遵守しなければならない。遵守事項の違反に対しては、就業規則に基づく処罰等の処置がとられる場合がある。

制定日:2009 年 8 月 6 日
沖縄クロス・ヘッド株式会社
代表取締役 渡嘉敷 唯昭