HOMEへ
当社は、2006年4月に情報セキュリティマネジメントシステムのISMS(国内規格)と
ISO27001(国際規格)の認証を同時に取得し、2009年3月に更新審査をクリアしました。
【認証取得概要】 |
||
事業者名称 |
株式会社インフィニティ |
|
認証登録範囲 |
システムの企画・提案業務 受託によるシステム開発 派遣によるシステム開発 |
|
認証事業所 |
大阪本社 |
|
認証登録日 |
2006年4月20日 |
|
認証規格 |
国際規格 ISO/IEC 27001:2005 |
国内規格 JISQ27001:2006 |
認定機関 |
米国規格協会- (The American National Standards Institute(ANSI)- |
|
認証登録番号 |
IS 502165 |
|
認証登録機関 |
||
認定マーク |
 IS 502165/ISO/IEC 27001:2005 |
 IS 502165/JIS Q 27001:2006 |
●ISO/IEC 27001:2005(国際規格)とは?
2005年10月15日に国際規格として発行された情報セキュリティの管理運営の仕組み及び具体的なセキュリティコントロール(管理策)に関する要求事項を規定する規格であり、英国規格BS77992パート2をベースとして作成された情報セキュリティマネジメントシステム(ISMS)の国際規格です。
●JISQ27001:2006(国内規格)とは?
財団法人日本情報処理開発協会(JIPDEC)による情報セキュリティマネジメントシステムに関する適合性評価制度で2003年4月に英国規格BS77992パート2をベースにISMS認証基準(Ver.2.0)が策定されました。
その後、2005年10月のISMS認証基準の国際規格化(ISO/IEC 27001:2005)に伴い、国内規格としても2006年4月にISMS認証基準(Ver.2.0)からJISQ27001:2006に移行されました。 基本的な構造や内容は、国際規格(ISO/IEC 27001:2005)とほぼ同じです。
ー情報セキュリティ基本方針ー
1.目的
この文書は、当社の情報セキュリティマネジメントシステム(以下、ISMS)を構築するにあたっての基本的な方針を明らかにしたものである。今後この文書を情報セキュリティの拠り所として位置付ける。
2.基本声明
当社は、「卓越した技術を核にしたIT企業」となることを目標に、かつ総合的に顧客満足度を向上させることを品質目標に掲げ、事業を通して総合的な情報システムとサービスを提供することを企業理念としている。
私たちは、この企業理念に基づき、顧客および、社会の信頼に応えるべく、事業上、蓄積した情報やお預かりした、或いは知り得た情報をはじめとして、当社が取り扱う全ての情報資産を様々な脅威から守り機密性、完全性、可用性を確保、維持し、事業継続を確実にするために「情報セキュリティ基本方針」 (以下、基本方針)を定める。
全従業員は、情報セキュリティの規定を熟知し、不断の努力をもって遵守しなければならない。
3.情報セキュリティの定義
情報セキュリティとは、情報の機密性・完全性・可用性を維持することと定義する。機密性・完全性・可用性とは次のような意味を持つ。
| 機密性 : | 認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。 |
| 完全性 : | 資産の正確さ及び完全さを保護する特性。 |
| 可用性 : | 認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 |
4.情報セキュリティの目標
| (1) | 定期的な情報セキュリティ教育の実施により、全従業員の情報セキュリティに対する啓発及び重要性に対する意識の向上を図ること。 |
| (2) | 常に最新のウィルス対策ソフトウェアを導入すること。 |
| (3) | ソフトウェア製品の使用にあたって、使用許諾権を遵守すること。 |
| (4) | 事業継続計画を充実させること。 |
| (5) | 情報資産の評価価値に従った適切な取扱いを行うこと。 |
5.適用範囲
適用範囲は、当社の管理下にある、すべての業務活動に関わる情報資産について適用する。
詳細は、「情報セキュリティの適用範囲」を参照。
6.管理者の任務と義務
当社は情報セキュリティ委員会を設置するものとする。情報セキュリティ委員会は、
全社的にISMSの推進を図るものとする。情報セキュリティ委員会は、各部門から
部門責任者を任命する。部門責任者は各部門におけるISMSの推進に努めること。
7.リスク評価基準とリスクアセスメントの構造の確立
情報セキュリティ委員会は、「情報資産の分類及び管理に関する手順書」及び「リスク評価に
関する手順書」で定めた方法に基づき、適用範囲にあるすべての情報資産を洗い出して
その資産の価値を評価し、脅威と脆弱性の分析によりリスクを特定する。特定したリスクに
対して最適な情報セキュリティ管理策を講じるものとする。
すべてのリスクを定められた受容可能なリスク水準以下に軽減することを目標とする。
8.従業員の義務
基本方針の運用は「情報セキュリティ規定」および情報セキュリティの各手順書に従い、
定期的な内部監査の実施により基本方針が遵守されているかを確認する。
情報セキュリティ管理責任者は、適切な規定及び実施手順により基本方針の実施を促進する。
役員及び全従業員(正社員、協力会社、契約社員、パート、アルバイト)は、基本方針を維持
するために策定された「情報セキュリティ規定」および情報セキュリティの各手順書に準じて
行動しなければならない。
また、全従業員は情報資産に対して事件・事故及び特定された弱点について報告する義務を
要するものとする。
9.法的又は規制要求事項への対応
(1)個人情報保護
当社は、個人情報保護法に準じて個人情報を管理するものとする。
(2)機密情報管理
当社は、不正競争防止法に準じて顧客および当社の秘密情報を管理するものとする。
(3)著作権保護
当社は、著作権法に準じて著作物を管理するものとする。
10.秘密保持契約
当社は、顧客との秘密保持契約事項に準じて情報を管理するものとする。
11.情報セキュリティの教育
情報セキュリティに関する啓蒙・教育活動は、経営層の支持のもと、情報セキュリティ委員会で推進を図るものとする。役員及び従業員(正社員、協力会社、契約社員、パート、アルバイト)は、情報セキュリティの教育及び訓練に参加することを義務とする。
12.罰則
当社の情報資産の保護を危うくする故意の行為を行なった場合は、就業規則の罰則規定に従い、懲戒又は法的処分の対象となる。
13.見直し
基本方針の見直し及び評価は、定期的に行われるマネジメントレビューで実施し、常により良いものへの改善を図る。
2005年12月1日
株式会社インフィニティ
代表取締役社長
