ISO27001の認証取得について
株式会社アイエムシステムは、UKAS(英国認証機関認定審議会)の審査認証機関である株式会社 NQA-Japanより、
2009年1月26日にISO 27001の認証を得ました。登録内容は下記のとおりになります。
登録内容と登録範囲
| 取得事業者名 | 株式会社アイエムシステム |
|---|---|
| 認証登録番号 | S49 |
| 適合規格 | ISO27001:2013 |
| 登録日 | 2009年1月26日 |
| 有効期限 | 2024年1月21日 |
| 登録内容 | 業務用情報システムの企画、開発、設計、運用、サポート |
| 登録サイト | 本社 |
| 登録審査認証機関 | 株式会社 NQA-Japan(http://www.nqa-j.com/) |
| ISO27001登録マーク |  |
基本方針
当社は受託業務をベースとした事業形態であり、お客様よりお預かりした機密情報、 個人情報を事業の一環として開発及び保守に使用しております。お客様よりお預かりした機密情報、又は個人情報はセンシティブ情報も多く含まれる上、その取扱い件数も大量であることが当社の特徴でもあります。 従って、これらの情報について万が一漏えい等事件・事故が発生した場合は、当社の事業継続にも大きく影響することになり、これら情報の徹底した保護が極めて重要となります
当社はこれら情報の取扱いについては、その取扱い業務の性質から大半の部署又は従業員がその情報に対して何らかの関与をしております。従って一部の部署なり従業員のみがこれら情報の保護 に努めるというだけでは不十分な対応となり、全従業員が自覚的にこれら情報の保護に向き合うことが極めて重要であります。また業務の効率上、そのデータ処理の一部を外部業者に再委託処理することもありますが、これら再委託業者の安全管理・監督も社内情報セキュリティの維持・運用に 劣らず重要な管理要求事項として取り組む必要があります。
さらには、業務を遂行する上において、お客様の契約に含まれた要求事項だけでなく個人情報の取扱い、データ処理の取扱い等に関連する法的要求事項、業界の規制要求事項等への対応も事業を継続する上において順守すべき重要事項であります。
これらのことを踏まえ当社では、ISMSを導入し上記お客様よりお預かりした機密情報、個人情報の保護の仕組みを組織的に確立、運用、監視、レビュー、及び維持及び改善するものとします。
以下には当社がISO/IEC27001による情報セキュリティマネジメントシステムを維持、運用及び改善を実施するに当たっての基本的な考え方を示します。
1 体制
全社の情報セキュリティマネジメントシステムを統括する情報セキュリティ責任者を定め、
各部門にはその情報セキュリティ責任者を補佐する部門担当者を定めて情報セキュリティの安全管理を図ります。さらには、全社での情報セキュリティ統括的管理を目的とした「情報セキュリティ委員会」を設置し、全社の情報セキュリティマネジメントシステムを維持する体制とします。
2 法令等に対する順守
法令の順守は勿論のこと、国、業界、及び地域の共同体等の定める規則に対しても順守するものといたします。また、契約上の義務を履行し、契約者との信頼関係の構築を維持するものとします。これらの情報セキュリティ順守事項は、管理策として具体化し維持・運営をはかってゆくものといたします。
3 リスクアセスメント
個人情報、機密情報などの情報の資産保護におきましては、その資産を脅かす脅威、脅威が付け込む弱点を十分認識した上で、適切なリスクアセスメントを実施し、守るべき資産に対する安全管理の仕組みを維持・運営するものといたします。その前提といたしまして、保護すべき個人情報や機密情報の資産管理を明確に定め、維持管理するものとします。
4 従業員の教育・訓練、及び認識活動
リスク分析の結果導き出された安全管理は当社の安全管理規程として全従業員が順守し、運営するものといたします。この安全管理規程の運用に向けた周知徹底には、必要とする力量の定められた要員に対する適切な教育・訓練、及び全従業員認識活動が必要であり、これらの活動を実行するものといたします。
5 アクセス制御方針
アクセス制御方針は、「許可されていない情報へのアクセスを禁止する」として、社員の機密情報、個人情報へのアクセスを制御いたします。また外部の訪問者に関しても同様の管理を行うものといたします。
6 情報セキュリティインシデント(事件・事故)への対応
どのようなリスクアセスメントに基づいた管理策の運用においても万全ということはなく、不幸にして情報セキュリティインシデント(事件・事故)の発生、情報セキュリティ違反にいたることが想定されます。そのような場合におきましても原因の究明を徹底した上適切な再発防止策をはかり、違反に対しては厳格な罰則で対処いたします。また、情報セキュリティインシデントの可能性のある情報セキュリティ事象やセキュリティの弱点を報告する仕組みを全従業員及び関係者に周知し、情報セキュリティインシデントを未然に防止することに努めます。
また、情報セキュリティインシデントの規模が社外や社会的影響に至る場合を想定し、事業継続管理を図ってゆくものといたします。
7 見直しと改善
当社は上記情報セキュリティマネジメントシステムの運用状況を定期的に内部監査し、その結果と関連情報を定期的に見直すことで、情報セキュリティマネジメントシステムの継続的な改善を図って行くものといたします。この見直しに際しては、経営陣と情報セキュリティ委員会によるマネジメントレビュー会議の開催を行います。
2020年12月
株式会社 アイエムシステム
代表取締役 三木 康之