SOFLA

ISMS方針群|HOME

ISMS POLICY GROUP ISMS方針群

当社は、トータルソリューションプロバイダーとしての社会的立場から、情報システムおよびそのシステムで扱う情報(以下「情報資産」という)の機密性、完全性および可用性を確保し維持し改善するため、ISMS方針群を定め、情報セキュリティマネジメントシステムを確立し、実施致します。
ISMS方針群は、ISMS基本方針(「情報セキュリティ方針」)及びISMS個別方針(関連する方針群)で構成されています。

【ISMS基本方針】

  1. 当社は、事業上の要求事項、情報セキュリティ関連法令(個人情報保護法、不正競争防止法、不正アクセス禁止法、著作権法など)または規制の要求事項、お客様との契約上のセキュリティ義務による要求事項を遵守します。
  2. 当社は、ソフトウェア開発業務を事業活動の柱としております。そのため、お客様に満足いただける付加価値の高いサービスのご提供はもちろんのこと、お客様からお預かりした重要な情報については、厳密な機密保持および保護に努め、お客様に安心感・信頼感をご提供することが、最も大切なことと考えています。
  3. 当社は、情報資産の「機密性」、「完全性」、「可用性」を含めた情報資産に対する脅威及び脆弱性を特定かつ定量化し、リスクアセスメントを実施し、リスクアセスメント結果に基づいて、適切な対応策を実施します。
  4. 当社は、セキュリティインシデントの発生の予防に努めます。万一、発生した場合には、再発防止策を含む適切な対策を速やかに講じます。また事業継続を確実にするため、災害なども含めた緊急事態を想定した事業継続計画の策定とその点検を推進します。
  5. 当社は、情報セキュリティに関する役割と責任を定め、経営陣が積極的に関与し、これを組織的に管理運用する体制を確立します。
  6. 当社は、経営陣および業務に従事するすべての従業者に対して情報セキュリティの重要性を認識させるための教育・訓練を積極的に行い、情報資産の適正な保管および利用の周知徹底を図り、それらに違反した場合の罰則適用を含めた人的セキュリティの確保に努めます。
  7. 当社は、情報セキュリティの遵守状況を点検・評価して定期的に監査を実施して情報セキュリティの確保に努めるとともに、その結果に基づいた情報セキュリティマネジメントシステムの見直しおよび運用の継続的な改善を図ります。

【ISMS個別方針】

  1. モバイル機器に関する方針
    (1)モバイル機器は暗号化ソフトウェアにより、情報を保護します。
    (2)社外への持ち出しは記録を取り、返却時にはデータの削除を確認します。
    (3)社有のモバイル機器を利用するものとし、私有のモバイル機器を社内の情報端末へ接続することを禁止します。
  2. アクセス制御方針
    (1)情報システム及びサービスへのアクセス権限は、個別ユーザー単位に設定し、定期的な見直しを実施します。
    (2)ソフラクラウドセンターへの入退館は、社員証(ICカード)に加え、生体認証(指静脈認証)、サークルゲート(1人ずつの入退管理)、監視カメラにより管理を行います。個人のアクセス権を管理することで、情報資産の確実な安全管理に努めます。
  3. ネットワークサービスの利用方針
    (1)外部ネットワークとの接続にあたって、ネットワーク、情報システム及び情報資産に影響が生じないことを事前に確認します。
    (2)外部からの一時的な内部ネットワークへのアクセスは、利用者の真正性の確保が確定出来る方法により認証を行います。
  4. 暗号による管理策及び暗号鍵の利用方針
    (1)個人情報又は重要な秘密情報(以下「重要情報」という)を社外へ持ち出す場合、又は送信・移送する場合、保管する場合、及び社外から取得する場合には暗号化により情報を保護します。
    (2)暗号鍵は、業務担当者とプロジェクトの外部の関係者及び顧客間で秘密に処理し、当事者以外がアクセス出来ないように管理します。
  5. クリアデスク・クリアスクリーン方針
    (1)業務で使用する全てのデータはサーバー保管します。デスクトップは常に整理し、不要なデータはPC端末のハードディスク内に保存しません。
    (2)PC端末はパスワード付きのスクリーンセーバーを設定します。
    (3)事務室が無人になる場合、PC端末はログオフするか電源を切る。情報媒体(書類、電子媒体等)は所定の場所に厳重に収納保管します。
    (4)プリンターで出力した帳票類等は、速やかに回収し放置しません。
    (5)ハードディスク、情報媒体等は、情報の復元が不能な状態にしてから廃棄します。
  6. バックアップ方針
    (1)サーバー内のデータを定期的にバックアップし、データ損失時には必要に応じて速やかな復旧が行えるようにバックアップ手順を規定します。
    (2)バックアップ媒体の保管場所は、防火区画であり、防犯措置が施されたデータ保管庫とし、個別の保管庫は常に施錠した状態にします。
    (3)バックアップ機器が正常に動作しているか定期的に確認します。
  7. 情報の転送に関する方針
    (1)手渡しで授受する場合は、搬送途上の紛失・盗難から保護するため、事業所へ直接帰社します。出来ない場合は郵送等の措置を取ります。
    (2)貸し出す又は預かる場合は、情報の内容を記載した貸出証又は預り証を発行します。
    (3)FAXにより重要情報を送信する場合は、送付先への事前連絡及び到着確認、送付物及び送付先の当人以外の立会い者による確認を行います。
    (4)メールにより重要情報を送信する場合は、メール文面に直接記載せずに添付ファイルを作成し、暗号化により保護します。
  8. セキュリティに配慮した開発のための方針
    セキュリティに配慮した開発をSOFLA SP開発規程に手順を定め遵守します。
  9. 供給者関係のための情報セキュリティの方針
    協力会社や業務委託先など外部の関係者が当社の情報資産を利用又はアクセスする場合は、当社のISMS基本方針等に従うことに合意し、秘密保持契約書等を締結します。

制定日:平成20年2月25日
改定日:平成27年5月1日
ソフラ株式会社
代表取締役 井本 裕順