1. ISMSの目的 当社は、当社の情報セキュリティマネジメントシステム(以下ISMSという。)の目的を「当社の情報資産を安全に管理しかつ有効活用することで、顧客の安心・信頼を獲得し、当社の事業の継続と発展を図る」と定める。
(1) 当社は、ISMSの目的を達成するため、各部門の管理者をメンバーとする情報セキュリティ委員会を設置し、情報セキュリティを管理する責任者として情報セキュリティ委員長を指名する。
(2) ISMSの目的は、情報セキュリティ委員会が発案し、経営陣の承認を得て、ISMS基本方針とともに、当社の従業者に周知する。
(3) 当社のすべての従業者は、当社の情報セキュリティの全般的な方向性を理解し、日常の業務遂行上の行動指針とする。
(4) ISMSの目的は、定期的に、見直しを実施することで、当社を取巻く環境の変化、技術の進歩及び当社の事業内容の変化に対応する。
|
2. 当社は、ISMSの目的を達成するため、「情報セキュリティ計画」を策定し、セキュリティ目標及びそれを具体化するための各種対策を計画し、実行する。
(1) 「情報セキュリティ計画」は、情報セキュリティに対する当社の取り組みに関する経営陣の意思とそれに基づく主な行動指針が反映していなければならない。
(2)「情報セキュリティ計画」は、年度はじめに情報セキュリティ委員会が作成し、経営陣の承認を得る。
(3) 「情報セキュリティ計画」の実施状況は、毎年度末に経営陣にレビューし、その結果及び経営陣からの指示を次年度の計画に反映させる。
|
3. 当社は、取り扱うすべての重要な情報資産のリスクを受容可能な水準に保つため、事業上で発生するリスクや法令や各種規範又は規制要求事項、並びに内外組織との契約上の要求を満たしたリスクアセスメントに関する体系的な手順と評価基準を定め、リスクアセスメントに基づく適切なリスク対策を講じる。
|
4.ISMSの確立及び維持が行われるように、組織の戦略的なリスクマネジメントの観点から整合性をとる。
|
5.リスクを評価するための基準を確立する。
|
6.当社は、このISMS基本方針を、全従業員及び関連する外部関係者に周知するため、「情報セキュリティ基本方針」を策定し、文書化し、公表又は通知する。
|
7.「ISMS基本方針」及び「情報セキュリティ基本方針」は、情報セキュリティ委員会が作成し、 経営陣の承認を得て発行し、年一回定期的に、レビューを実施する。
|