ISMS基本方針

当社は、情報セキュリティマネジメントシステム(ISMS)の国際規格である 「ISO27001(ISO/IEC27001:2013)/JIS Q 27001:2014」の認証を取得しています。

登録日: 2011年7月29日
登録証番号: JQA-IM1022
登録事業者: ピーアンドダブリューソリューションズ株式会社
審査機関: 一般財団法人 日本品質保証機構(JQA)

■ 情報セキュリティ方針

ピーアンドダブリューソリューションズ株式会社(以下、「当社」という。)は、業務用ソフトウェアパッケージの設計・開発及び保守、システム基盤の設計・構築及び保守を行っております。
当社の事業活動の中で取扱う「情報資産」を適切に取扱うため、当社全従業者が遵守すべき行動基準として、本情報セキュリティ方針を定め、その遵守の徹底を図ることといたします。
情報資産とは、当社が保有または運用管理する情報、データ及び情報システム、ネットワーク、設備とし、有形、無形に関わらず、事業を展開する中で当社が必要と判断する全てのものを対象とします。

1.ISMS(情報セキュリティシステム)の運営

当社の情報セキュリティ目的の達成のため、総合的なリスクマネジメントの一環として情報セキュリティを捉え、内部・外部、故意・偶然にかかわらず、全ての脅威から当社の情報及び関連資産を保護するとともに、積極的に活用していく手段としてISMSを運営します。

2.情報セキュリティに対する取組みについて

すべての役員及び従業員は、情報資産の保護と活用の重要性を認識し、以下のポイントに留意し、全社一丸となって情報セキュリティ対策に取り組みます。

  • 内部、外部の環境の変化を迅速・的確に捉え、事業運営への影響を検証します。
  • 適切な情報セキュリティ管理を実施し、情報セキュリティ事故を未然に防止します。
  • 万が一の事故の際には、その被害を最小限にとどめ、迅速な復旧を行い、再発を防止します。
  • 情報資産の利用可能性を確保し、必要な情報が必要なときに利用できるようにします。

3.情報セキュリティに関連する規範・契約の遵守

著作権法、個人情報保護法等の法令や規則、取引先との契約等、情報セキュリティに関連する規範・契約を遵守します。

4.情報セキュリティの手順

情報セキュリティを実践するために、全ての役員及び従業員に対して必要な教育を実施し、周知徹底を図ります。

5.監査

JIS Q 27001:2022に基づく第三者監査を受け、また、定期的な内部監査を実施し、改善を行います。

6. ISMS管理責任者の任命とISMS委員会の設置

情報セキュリティマネジメントシステムを推進する機能として、ISMS管理責任者、情報セキュリティ委員会を設置し、情報資産の適正な管理を実施します。

制定 : 2011年2月14日
改定 : 2024年10月1日

ピーアンドダブリューソリューションズ株式会社
代表取締役 大宮 俊之

■ 情報セキュリティ方針群

ピーアンドダブリューソリューションズ株式会社(以下、「当社」という。)は、お客様からお預かりする情報資産及び当社の情報資産に対し、 必要な保護と適切な安全対策を講じることにより、漏えい、改ざん、紛失、破壊、利用妨害等といったさまざまな危険や脅威から情報資産を守り、 機密性、完全性、可用性を確保すべく、情報セキュリティ方針群を次のとおり定めます。

1.情報の転送方針(A5.14)

  1. インターネット経由にて情報を転送する場合は、セキュアな通信方式にて行う。
  2. 機密情報を電子メールの添付ファイルで送信する場合は、暗号化を行う。
  3. 公共の場では、機密情報は話さない。携帯電話では周りに注意を払って利用する。
  4. FAXを使用する場合、送信前の番号確認及び送信後の到達確認を行う。
  5. 取り扱いに慎重を要する重要な情報の印刷物について、放置を禁ずる。

2.アクセス制御方針(A5.15)

  1. 適用範囲外のエリアとのネットワーク分離を確実にする。
  2. 許可された者のみ、アクセス権限を付与する。
  3. 特権ユーザは限られたユーザのみに制限する。
  4. アカウント及びアクセス権限の登録・変更・削除の手順を明確に定め、運用する。
  5. 従事する業務及び取り扱う情報資産分類に応じ、アクセス範囲を制限する。
  6. アカウントの利用状況を定期的にチェックし、正しく管理する。

3.供給者関係における情報セキュリティの方針(A5.19)

供給者など外部の関係者が自社の情報資産を利用したり、アクセスしたりする場合には当社の情報セキュリティ方針に従うことに合意し、機密保持契約書などを締結する。

4.プライバシー及び個人を特定できる情報(PII)の保護方針(A5.34)

「個人情報保護方針」を参照する。

5.クリアデスク・クリアスクリーン方針(A7.7)

  1. 帰宅時や長時間、離席する時は書類や可搬媒体を放置しない。
  2. 重要な書類や可搬媒体は、セキュリティが確保された場所に保管する。
  3. スクリーンセーバーは10分以内で設定し、パスワードロックをかける。
  4. 終業時や休日、祝日、長期休暇時にはPC の電源を切る。
  5. 定期的に作業場所の整理整頓を実施し、思わぬ情報漏えいの危険を排除する。

6.利用者エンドポイント機器の方針(A8.1)

業務でのモバイル機器の利用は、当社が利用許可を出したものに限る。 利用に際しての注意事項を下記に示す。

  1. 屋外での物理的安全性
  2. 第三者による覗き見
  3. 置き忘れ、紛失
  4. 置き引きや車上荒らしなどの盗難
  5. 業務外での利用禁止

7.情報のバックアップの方針(A8.13)

  1. 指定したサーバのデータやシステム領域等について、定期的にバックアップを行う。
  2. バックアップが正常に実施されている事を、定期的に確認する。
  3. バックアップのデータは、事業継続の観点を考慮し、異なる施設にて保管する。
  4. バックアップしたデータを、リストアする手順を確立する。

8.暗号の使用方針(A8.24)

  1. 情報機器に機密データを保管する必要がある場合は、機密データの漏えいを防ぐため、暗号化やアクセス制御等の対策を講じる。
  2. 機密情報を電子メールの添付ファイルで送信する場合は、暗号化を行う。

9.セキュリティに配慮した開発のライフサイクル方針(A8.25)

セキュリティに配慮した開発を推進する。

制定 : 2015年1月15日
改定 : 2024年10月1日

ピーアンドダブリューソリューションズ株式会社
代表取締役 大宮 俊之