マネジメントシステムへの取組み

  • HOME
  • 情報セキュリティ方針

情報セキュリティ基本方針

株式会社 コンシスト(以下、当社)は、総合的な開発スキルと、豊かな発想力によってお客さまの抱える様々な問題や課題に対し効果的なソリューションをご提案し、次世代の高度情報社会の発展に努めます。
当社は、お客様からお預かりする情報資産はもちろんのこと、社内で取り扱うあらゆる情報資産に対し適切なセキュリティ対策を講じることで、お客様からの信頼を獲得し、その繁栄に貢献することを目的に、情報セキュリティ基本方針をはじめとする情報セキュリティ方針群を定め、役員、社員等および協力会社社員及び関連する外部関係者へ公知し、遵守します。

  1. 適用範囲
    当社は、役員、社員等および協力会社社員(以下、業務関係者という)と当社が管理する重要な情報資産全てに適用いたします。
  2. 情報セキュリティの目的
    (1) 事前対策
    当社の経営に有用な情報資産に対する脅威が内部か外部か、または故意か偶然かを問わず、すべての脅威から当社の情報資産を保護し、その機密性、完全性、可用性の確保を行いつつ、正常に維持すること。
    (2) 事後対策
    万が一の事態の影響を最小限にし、迅速な復旧対応と再発防止策に尽力すること。
  3. 情報セキュリティ責任と体制
    情報セキュリティに関する責任者は、トップマネジメントである代表取締役が負うものとし、事業上の変化・内外の環境変化に対して、常に有効性が確立された情報セキュリティ環境の維持に努めます。そのために、継続的な改善への推進部門として業務管理部を設置し、組織として意思統一された運営に努めます。
  4. 情報資産の保護
    当社は、組織の管理下にある業務活動に関する全ての情報資産および業務関係者に対し、日本及び国際基準に準拠した情報セキュリティ管理システムに則った情報セキュリティ施策を講じ、適切に保護します。
  5. 監視
    当社は、健全な情報セキュリティ環境が維持され、管理策が遵守され、有効に機能していることを点検するために、定期的および必要に応じて内部監査を実施します。内部監査室を独立させ、多面的・多角的な視点から全社的な改善活動への指導・周知徹底と推進を図ります。
    また、マネジメントレビューでは、採用した管理策および実施した改善策の適切性・有効性を評価します。リスクアセスメントでの評価結果との整合性を通じて、その適切性・妥当性・有効性を確認し、マネジメントシステム並びに本方針の見直しを事業上に重要な変化があった時点及び定期的に実施します。
  6. 情報セキュリティ事件・事故の予防と対応
    当社は、常に情報セキュリティ事件・事故が起きることを想定し、これを予防すると同時に、その発生に備えて迅速な対応、是正処置が可能なよう、適正な管理策および施策を講じます。
  7. 教育・訓練の実施
    当社は、関連する全ての業務関係者に対し、情報セキュリティ水準の維持向上を図るため、必要な教育・訓練を継続的に実施します。
  8. 外部委託先の管理
    当社は、業務の一部を外部に委託する場合には、適格性を十分に審査した上で、適切な契約を締結し、当社と同様の情報リスクを管理することを要請し、定期的な管理実施状況の監督を通じて外部委託先からの情報漏えいの防止に努めます。また、当該外部委託先の情報リスク対策状況を継続的に検証し、業務委託における信頼性の確保に努めます。
  9. 法律上及び契約上の要求事項の遵守
    当社は、法令または規制の要求事項、情報セキュリティ関係の諸規程、並びに契約上のセキュリティ義務を遵守します。
  10. 継続的改善
    当社の情報セキュリティマネジメントシステムは、環境の変化に応じて見直しを実施し、継続的な改善に取り組みます。業務管理部では、ISMSや他のマネジメントシステム(QMS・PMS)の管理策とベストプラクティスを有機的に連携させ、意図する成果目標を達成するために弊社の実情にマッチしたマネジメントシステム(仮称「Consist MS」)への段階的な整備統合に取り組みます。


情報セキュリティ個別方針

  1. モバイル機器の方針
    利用は必要最小限とし、情報資産を社外に持ち出す際の許可、記録、暗号化などの業務プロセスと承認ルールを確立し、確実に実施します。
  2. アクセス制御方針
    情報資産を、不正利用、誤使用などの不適切なアクセスから保護するため、情報資産の機密レベル及び利用者の職位に応じて、アクセス権限を適切に設定・管理するとともに、不正アクセス等への早期発見に努めます。
  3. 暗号による管理策の利用方針
    情報資産の機密性及び完全性を保護するため、情報資産の重要性、可用性及び技術の進歩を考慮して、適切な暗号化技術を適用します。
  4. クリアデスク・クリアスクリーン
    書類及び取り外し可能な記憶媒体に対するクリアデスク方針、ならびに情報処理設備に対するクリアスクリーン方針を定め、適切に運用します。
  5. 情報のバックアップ方針
    情報資産の完全性と可用性を保護するため、情報資産の重要性、機密性及び技術の進歩を考慮して、適切なバックアップ技術を適用します。また、事故や災害発生時に早急な業務復旧を可能にするための事業継続に関する業務プロセスと手順を整備し、模擬訓練を行います。
  6. 情報転送方針
    あらゆる情報資産の交換(物理的配送、ファイル、電子メールなど)において、情報漏洩や改竄等への業務リスクを認識し、適切な対策を確立し、実施します。
  7. セキュリティに配慮した開発およびサポートプロセスにおけるセキュリティ
    当社の品質マネジメントシステム(JISQ/ISO9001)の規定に準じ、業務環境(開発、試験、運用サポート)に応じた部門別のセキュリティ管理策を講じ、適用します。
  8. 供給者関係のための情報セキュリティ
    当社の特定の業務の一部、または、全部を外部委託する場合、および第三者が提供するサービスを利用する場合には、経営効率の向上を図るとともに、当社の情報セキュリティ要求事項について、供給者と合意し、文書化します。
2008年11月1日制定
2017年 4月1日改訂
株式会社 コンシスト
代表取締役 松田 知樹