情報セキュリティ基本方針
株式会社エヌジェーケー(以下「当社」という)は、コンピュータと情報通信ネットワークを基盤に、お客様の貴重な情報を含む多くの情報とかかわりつつ、エンドユーザ対応中心の各種情報機器等の仕入・販売から、オリジナル・パッケージソフトの開発・販売および各種システムの開発・保守に至るまで、多様なトータル・ソリューション事業を首都圏をはじめ名古屋、大阪、福岡等の主要地方都市にて展開しております。
なお、これらの事業で取り扱うお客様及び当社の情報資産は、当社の経営基盤の一つで大変重要なものです。また、当該事業は、ほとんどがお客様の個別要望に基づくものであり、お客様に満足いただける付加価値の高いサービスや製品を提供することは当然ですが、当社が継続的・安定的に事業運営を行っていくためには、これらの情報資産を漏洩、改竄、破壊、紛失、不正使用などから十分に保護し、お客様に安心感・信頼感を提供することが最も大切なことと考えています。
そこで、当社が保有する情報資産にかかわるすべての従業者が情報資産を保護する重要性を認識し、お客様のより高い信頼を確保するため、ここに「情報セキュリティ基本方針」を定め、情報資産に要求される機密性・完全性・可用性を維持するセキュリティ活動を実践します。
1.適用範囲
本基本方針は、当社のすべての事業活動にかかわる情報資産に適用する。ここでいう情報資産とは、設計・開発・営業など事業運営上の重要な情報(文書・データ等)とシステム、ネットワークシステム運用などの社内サービス、およびこれらを保護・利用することにかかわる施設/設備(保守等関連付帯サービスを含む)を指す。
2.方針
- 当社は、高度なセキュリティマネジメントを実践するISMSを構築し、お客様の要請に備える。
- 当社の業務は情報セキュリティに関するお客様の要請が強く、お客様の事業計画や設計開発情報・販売関連情報の保護が事業継続のための重要な課題である。特に、お客様からの預かり情報については、約束した使用目的にのみ使用し、ウィルス感染や不正アクセスからの保護が最も重要である。そのため、ISMSの運営を通じて、業務エビデンス(文書化、記録)を残し、お客様の信頼に応える。
- リスク評価基準、リスクアセスメントの構造を確立し、これに基づくリスクアセスメントの体系的なアプローチを定義する。特に、お客様の情報資産の維持・管理には機密性を重視したリスクアセスメントを行い、これにより情報資産の脅威と脆弱性を識別し、さらにセキュリティ上対策が必要な事項を抽出する。
- リスクの顕在化とその対策を行うことで、事業継続の安定化とお客様満足を確実なものとする。
- 不正競争防止法、個人情報保護法、不正アクセス禁止法等の法令、事業上の契約およびISMS関連規則・基準を遵守する。
- 情報セキュリティの教育・訓練をすべての従業員等(役員、契約・臨時社員、協働者を含む)に対し定期的に実施し、セキュリティに対する意識を高める。
- 業務委託契約を締結する際には、業務委託先としての適格性を十分に審査し、当社と同等のセキュリティレベルを維持するよう要請する。
3.推進体制と責任
- 社内組織を横断する推進体制としてISMS推進委員会を設置する。
- 全社レベルの情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう情報セキュリティ管理責任者と総務部が積極的な推進活動を行う。
- 各部門長は、ISMS推進委員会の定める情報セキュリティマニュアル等に基づき、自部門の情報資産に対するリスクアセスメント、管理策の策定、リスク対応計画書の作成と実施・評価を行い、ISMSの継続的改善に努める。
4.監査
ISMS内部監査責任者は、情報セキュリティ基本方針、情報セキュリティマニュアル、各種実施要領の遵守状況、リスク対応計画実施状況および遵法状況を事業部門毎に毎年定期的に監査する。
5.従業員等の義務
当社の従業員等は、情報セキュリティ基本方針を遵守し、ISMSの維持、向上に努めなければならない。本基本方針およびISMS関連規則・基準に定める規定に反する行為を行った従業員は、就業規則に従い懲戒手続きの対象となる。
2010年6月18日
株式会社エヌジェーケー
代表取締役社長 谷村 仁
