ISMS基本方針

ISMS basic policy

NDKCOMのISMS基本方針について

長崎県下で初めて「ISMS認証」を取得し、設備、技術、人的な面で継続的にお客様との信頼関係を構築します。

※ISMS（ISO27001）とは、情報セキュリティマネジメントシステム（Information Security Management System）の略で、日本情報処理開発協会（JIPDEC）認定の情報セキュリティ対策に関する国際規格です。

登録範囲

受託計算（給与計算等）のアウトソーシングサービス業務
パソコンサーバ処理サービス業務
データエントリ業務
ASPサーバ管理業務
システム開発業務

登録範囲に含まれる事業所

本社：長崎県長崎市栄町5番11号
公共システム部：長崎県長崎市栄町5番5号 FM長崎ビル3階
[自治体向けアウトソーシングサービス業務、営業]
ITソリューション部：長崎県長崎市金屋町2-6 電脳ビル5階
[システム開発業務、ASPサーバ管理業務、営業]
ITサービス部西山台センター：長崎県長崎市西山台2丁目1-11
丸高マンション1階
[封入封緘業務、営業]

2003年7月1日制定　2007年8月3日改訂
株式会社NDKCOM 代表取締役社長　中野　一英

1.目的

情報資産を有効に活用して経営目標を達成すること、その情報資産の機密性、完全性、可用性を守り、情報セキュリティリスクを低減させることを両立させ、情報システムを社会の発展に役立てます。

2.適用範囲

本ISMS基本方針は、当社の情報資産及びそれらを取り扱う社員等に適用します。

3.情報セキュリティ基本方針

当社の社員等は、ISMS基本方針及びその目的に基づき、顧客の機密情報・会社の機密情報等の漏洩を防ぎます。また、扱う情報資産の完全性を保証するとともに、設備機器・システムの可用性を維持します。経営者は、これを達成するために経営資源を投入します。

3.情報セキュリティ基本方針

4.情報セキュリティの組織

当社は、情報セキュリティ維持のための最高決定機関として経営者を長とする情報セキュリティ委員会を置きます。情報セキュリティ委員会の下に実質的な情報セキュリティ事項を総括する情報セキュリティ対策室を設けます。対策室は情報セキュリティ統括管理責任者（役員クラス）と対策室長と各部門の情報セキュリティ責任者から構成されます。対策室会議は対策室室長の招集により開催され、情報セキュリティ文書の作成、改訂、廃棄の審議、遵守状況の監視、重要事項の決定等を行い、情報セキュリティに関する全般的な方向性、行動指針を確立し関係部署への通達、調整を行います。

5.目標設定の枠組み

情報セキュリティに関する全般的な方向性及び行動指針を確立します。

6.情報資産の管理と分類

当社で取り扱う全ての情報資産は、各部門の情報セキュリティ責任者より任命された情報セキュリティ担当責任者によって適切に管理します。また、情報資産はその内容により分類され、重要度に応じて適切に管理します。

7.情報資産の取扱い

当社は、情報資産に対する閲覧権限を与えられた者のみが、その情報資産の内容を閲覧することを認め、情報資産に対する変更権限を与えられた者のみが、その情報資産の内容を変更することを認めます。また、情報セキュリティ責任者は、適切に権限を与えられた者が、いつでも閲覧もしくは変更を行えるよう、情報資産を適切に管理します。

8.監視・監査及びマネジメントレビュー

情報セキュリティ責任者は、情報資産が適切に管理されているかどうかを、常に監視します。また、内部監査人、及び独立した第三者（外部監査人）は、情報セキュリティ関連ガイドライン等に基づき情報資産の管理が適切に行われているかの監査を定期的に行います。また、マネジメントレビューを定期的に行い、情報セキュリティの継続的な改善に結びつけます。

9.セキュリティインシデント及び事故の予防

情報セキュリティの安全に影響を及ぼすセキュリティ事象、セキュリティインシデントの収集と分析を行い、セキュリティ事故の予防に努めます。

10.セキュリティ教育

情報セキュリティ対策室は、当社のすべての社員等に、職務に応じて必要な情報セキュリティ教育を定期的に計画し実施します。

11.リスクアセスメント及び管理策の有効性の評価

情報資産に関するセキュリティ上の脆弱性と管理策を再現可能なものにするために、リスクアセスメント及びリスク対応の手順を決定します。リスクアセスメントの結果に基づき管理策を選択し実施します。また、定期的に管理策の有効性の評価を行います。

12.コンプライアンス

当社の社員等は、「個人情報保護法」、「著作権法」、「不正競争防止法」、「不正アクセス禁止法」等、セキュリティ関連の法的要求事項を遵守します。

13.罰則

情報システムを利用する全ての社員等は、情報セキュリティ基本方針を遵守します。この方針への違反者に対しては、情報システムの使用禁止、及び就業規則に基づく処罰等の処置をとります。