情報セキュリティ基本方針 ISO27001

情報セキュリティ基本方針について

情報セキュリティ基本方針 ISO27001

  1. 目的
    この文書は、環境工学研究所株式会社(以下、「当社」という)の情報セキュリティマネジメントシステム(以下、ISMS)を構築するにあたっての基本的な方針を明らかにしたものである。今後この文書を情報セキュリティの拠り所として位置付ける。

  2. 基本声明
    当社は、「自然を守りながらいかに人間が快適な生活を送るか。一見矛盾ともとれるような問題に対し環境をテーマに研究し、また将来に向かって必要不可欠な情報処理に関する研究など、快適な生活・快適な仕事をコンセプトに幅広く社会に貢献する」ことを企業理念としている。私たちは、この企業理念に基づき、顧客および、社会の信頼に応えるべく、事業上、蓄積した情報やお預かりした、或いは知り得た情報をはじめとして、当社が取り扱う全ての情報資産を様々な脅威から守り機密性、完全性、可用性を確保、維持し、事業継続を確実にするために「情報セキュリティ基本方針」(以下、基本方針)を定める。全従業員は、情報セキュリティの規定を熟知し、不断の努力をもって遵守しなければならない。

  3. 情報セキュリティの定義
    情報セキュリティとは、情報の機密性・完全性・可用性を維持することと定義する。機密性・完全性・可用性とは次のような意味を持つ。
    機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。
    完全性:資産の正確さ及び完全さを保護する特性。
    可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。

  4. 情報セキュリティの目標
    (1)定期的な情報セキュリティ教育の実施により、全従業員の情報セキュリティに対する啓発及び重要性に対する意識の向上を図り、情報漏洩などの事故を起こさないよう努めること。
    (2)モバイル電子媒体の取扱いや含まれる情報の移動(伝送)中の過程において、情報の発生から保管・変更・消去に至るまでを監視し、電子ファイルのパスワード付圧縮化や、暗号化などの取扱いを徹底すること。
    (3)情報資産を分類し、その保管管理や入室制限、又クリアデスク・クリアスクリーンなどにより、情報の盗難・漏洩・改ざんから守ること。

  5. 適用範囲
    適用範囲は、当社の管理下にある、すべての業務活動に関わる情報資産について適用する。詳細は、「情報セキュリティの適用範囲」を参照。

  6. 管理者の任務と義務
    当社は情報セキュリティ委員会を設置するものとする。
    情報セキュリティ委員会は、各部門から部門責任者を任命し、各部門におけるISMSの推進に努める。
    さらに、各部門から全社的にISMSを発展させることに努めるものとする。

  7. リスク評価基準とリスクアセスメントの構造の確立
    情報セキュリティ委員会は、「情報資産の分類及び管理に関する手順書」及び「リスク評価に関する手順書」で定めた方法に基づき、適用範囲にあるすべての情報資産を洗い出してその資産の価値を評価し、脅威と脆弱性の分析によりリスクを特定する。特定したリスクに対して最適な情報セキュリティ管理策を講じるものとする。すべてのリスクを定められた受容可能なリスク水準以下に軽減することを目標とする。

  8. 従業員の義務
    基本方針の運用は「ISMSマニュアル」および情報セキュリティの各手順書に従い、定期的な内部監査の実施により基本方針が遵守されているかを確認する。情報セキュリティ管理責任者は、適切な規定及び実施手順により基本方針の実施を促進する。役員及び全従業員(正社員、協力会社、契約社員、パート、アルバイト)は、基本方針を維持するために策定された「ISMSマニュアル」および情報セキュリティの各手順書に基づいて行動しなければならない。また、全従業員は情報資産に対して事件・事故及び特定された弱点について報告する義務を要するものとする。

  9. 法的又は規制要求事項への対応
    (1)個人情報保護当社は、個人情報保護法に準じて個人情報を管理するものとする。
    (2)機密情報管理当社は、不正競争防止法に準じて顧客および当社の秘密情報を管理するものとする。
    (3)著作権保護当社は、著作権法に準じて著作物を管理するものとする。

  10. 秘密保持契約
    当社は、顧客との秘密保持契約事項に準じて情報を管理するものとする。

  11. 情報セキュリティの教育
    情報セキュリティに関する啓蒙・教育活動は、経営層の支持のもと、情報セキュリティ委員会で推進を図るものとする。役員及び従業員(正社員、協力会社、契約社員、パート、アルバイト)は、情報セキュリティの教育及び訓練に参加することを義務とする。

  12. 罰則
    当社の情報資産の保護を危うくする故意の行為を行なった場合は、就業規則の罰則規定に従い、懲戒又は法的処分の対象となる。

  13. 見直し
    基本方針の見直し及び評価は、定期的に行われるマネジメントレビューで実施し、常により良いものへの改善を図る。

2022年4月1日
環境工学研究所株式会社