ISO27001 (ISMS)
ISO 27001とは
情報化社会となった現代において、情報は人・モノ・カネと同様に企業の大事な資産。
情報を活用し、漏洩のないように資産を守ることは企業にとって重要な課題となっています。情報に関するセキュリティ(※)を管理するための仕組みであり、資産やリスクの洗い出し、対策の検討実施、効果の確認、見直しのPDCAサイクルを繰り返し行うことで、より高度なセキュリティシステムを構築する一連の作業をISMS(Information Security Management System)活動といい、そのISMS(情報セキュリティマネジメントシステム)の国際規格がISO 27001です。
(※)情報セキュリティ・・・情報の機密性、完全性、可用性を確保することです。
- 機密性:アクセスを許可された者だけが、情報にアクセスできることを確実にすること
- 完全性:情報及び処理方法が正確であること及び完全であることを保護すること
- 可用性:許可された利用者が、必要なときに情報及び関連する資産にアクセスできること
を確実にすること
ISO 27001の適用範囲
- 広告代理業務及び建築物の設計、施工、監理
お客様にとってのメリット
最近では多くのマスコミで取り上げられている情報漏洩事件。情報管理の甘い企業として企業イメージを一気に低下させるだけでなく、大切な顧客にまで大きなダメージを与えてしまいます。
ISO 27001認証取得企業なら、お客様からお預かりした顧客情報、機密情報などを適正管理し、情報漏えいを未然に防ぐことができます。
弊社は2007年11月にISO 27001を取得
シード本社では、2006年11月にISMS認証基準で認証取得。その後、2007年11月にISO 27001を認証取得。しかし、それに甘んじることなく、今後も「ISO 27001」の取組みの中でリスクを識別し、優先事項を決め「情報セキュリティ」リスクを軽減するための策をより一層とっていく所存です。
情報セキュリティ方針(ISO 27001)
[1]経営者の意向声明
当社の資産をあらゆる脅威から守り、機密性、完全性、可用性を確保し、維持し、事業継続を確実にするために『情報セキュリティ方針』を定める。
全従業員は、情報セキュリティの規程を熟知し、順守しなければならない。
[2]情報セキュリティの定義
情報セキュリティとは、情報の機密性、完全性、可用性を維持し、資産を適切に保護すること。
情報セキュリティの3要素(C・I・A)
-
Confidentiality
機密性情報を保護すること
つまり、アクセスが認可された者だけが、
情報にアクセスできることを確実にする。 -
Integrity
完全性情報が正確で完全なこと
つまり、情報および処理方法が正確で
あること及び完全であることを保護する。 -
Availability
可用性必要な時にいつでも使えること
つまり、認可された利用者が、必要なときに情報及び
関連する資産にアクセスできることを確実にする。
[3]情報セキュリティの目的
- 情報セキュリティの目的は「人的」、「ソフト」、「ハード」、「事業継続」、「ISMSの推進体制の確立」の5つの観点について設定する。
- 全従業員の情報セキュリティに対する啓発及び重要性を認識するために情報セキュリティ教育を実施すること。
- ウイルス及び他の悪意あるソフトウエアの予防及び検出。
- 法律上及び契約上の要求事項への適合。
- システムのトラブルにおけるリカバリーの性能向上を図ること。
- 事業継続計画を充実させること。
- 資産の機密レベルに従った適切な取扱いをすること。
[4]適用範囲
所在地:静岡県三島市文教町1-7-25 株式会社シード 本社
業務:広告・プロモーション、調査・企画、設計・施工、開発・運営サポート
資産:業務から派生する全ての資産
対象者:役員及び業務に携わる全従業員
[5]リスク評価基準とリスクアセスメントの構造の確立
適用範囲における全ての資産を洗出し、その資産価値の評価を、脅威と脆弱性の分析及び情報セキュリティの定義に従いリスクアセスメントを実施する。
[6]事業継続管理
当社の事業活動が、天災(震災)もしくはPC及びサーバマシンの故障及びウイルス感染によって、業務が中断することを想定したリスク管理策を計画する。
[7]ISMS確立、維持するための経営
社長は、事業上の要求事項を満たし、かつ、情報セキュリティの目標を達成するための経営資源(人的資源、基盤、作業環境)を明確にし、利用できることを確実にする。
[8]法律及び契約の要求事項の適合
全ての資産とその取扱いは、関係法令及び契約条項を順守する。
[9]役員及び従業員の責任と義務
役員及び従業員は、この情報セキュリティ方針及び情報セキュリティマネジメントシステムに関する社内規定、手順書に従い規定(ルール)を順守し、かつ資産に対して事件・事故及び特定された弱点について報告する義務がある。
情報セキュリティの報・連・相
-
報告
資産に対して事件・事故が発生した場合、
手順書に従い、セキュリティ委員会に
報告する。 -
連絡
問題発生による連絡(緊急連絡も含む)は、
当社の連絡網で確実に連絡する。 -
相談
資産に対して問題または気になることがあれば、
手順書に従い、セキュリティ委員会へ
相談する。なお、気づいた問題に対して、
自ら試みることは決してしないこと。
[10]情報セキュリティの教育
役員及び従業員は、情報セキュリティの教育及び訓練に参加することを義務とする。
[11]罰則
当社の資産の保護を危うくする故意の行為を行った場合は、就業規則懲戒規定に基づき対処する。
[12]見直し及び評価
情報セキュリティ方針の見直し及び評価は、定期的に必要に応じて行われるマネジメントレビューで実施し、常により良いものに改善を図る。
制定:2007年11月1日
改訂:2021年 4月1日
株式会社シード 代表取締役 西島昭男