ISMS導入の目的
株式会社オプティワイズは情報セキュリティマネジメントの国際規格「ISO/IEC 27001:2013」及び情報セキュリティマネジメントシステムに関する国内規格「JIS Q 27001:2014」における認証を取得しております。
認証規格 ISO/IEC 27001:2013(JIS Q 27001:2014)
認証番号 IA150139
「個人情報保護=プライバシーマーク」と思われる方も多くいらっしゃると思いますが、当社では、今、真に保護しなくてはならないものは何か?今、求められているものは何か?という観点で考え、国際標準規格であるISMS(情報セキュリティマネジメントシステム)を取得することにいたしました。
内閣サイバーセキュリティセンター(NISC)が策定した、「政府機関の情報セキュリティ対策のための統一基準」では、「統括情報セキュリティ責任者は、委託先の選定基準策定に当たって、その厳格性向上のために、国際規格を踏まえた委託先の情報セキュリティ水準の評価方法を整備すること。」とあり事実上、ISO/IEC 27001=ISMS認証取得を条件化しています。
参照URL: https://www.nisc.go.jp/policy/group/general/kijun.html
なおISMSは、情報資産を特定し、リスクの洗い出し・軽減する対策を行うことによって、セキュリティを高めるものであります。情報資産の洗い出しは、
- 情報資産:電子データ、書類など
- ソフトウェア資産:業務用ソフトウェアなど
- 物理的資産:PC、サーバー、通信機器、記録媒体など
- サービス資産:ユーティリティ(空調設備、電源設備、照明設備)など
- 人的資産:資格、技能、経験など
上記のような情報資産について価値、脅威、重大性を基準としてリスク評価します。
情報資産の洗い出しから始まって、リスクの洗い出し、セキュリティ対策の検討と実施、効果の確認、見直しのPDCAサイクルを回すのがISMSであり、それを実行することが今後の当社にとって必要と考えました。
ISMS(情報セキュリティ)基本方針
当社の事業活動において、情報セキュリティへの取組みは重要な経営課題と考えます。
当社は「ISO/IEC 27001:2013(JIS Q 27001:2014)」に適合した情報セキュリティマネジメントシステム(以下、ISMS)を構築し、当社が取り扱うお客様の情報資産及び当社の資産の保護と、セキュリティ事故の予防、及び情報セキュリティの継続的な向上に努めます。社会とお客様の信頼にこたえるために、下記の「情報セキュリティ基本方針」を定め、これを実施推進することを宣言します。
1. ISMSの目的
- 情報セキュリティ事故を未然に防止することにより、企業の社会的責任を遂行し、継続的な顧客サービスの実現を目指します。
- 万一情報セキュリティ事故が発生した場合、その被害の最小化と迅速な回復と類似事故の発生を防止します。
2. 情報セキュリティ体制の構築
情報セキュリティ管理体制の確立と環境を整備し、ISMSを継続的に実施し、改善します。
3. リスクアセスメントに基づきセキュリティ対策の実施
リスクアセスメントに基づいたセキュリティ対策を実施して、事故の未然防止と再発を防止します。
4. 教育及び訓練の実施
役員及び社員へ教育訓練を行い、情報保護意識の向上と情報管理に関わる規定を周知徹底します。
5. 法令等の遵守
関係法令とお客様との契約を厳格に履行するとともに、社内規程に基づき情報資産のセキュリティを確保します。
6. 見直し及び継続的な改善
情報セキュリティに関する社会的変化、技術的変化及び法令等の変化に適切に対応するために、情報セキュリティマネジメントシステムの定期的な見直しと改善を図ります。
2015年1月14日
株式会社オプティワイズ
代表取締役 沖山 陽太郎