【全】ヘッダーリンク
サイト内検索 検索
【全】ヘッダーボタン
デフォルト_H1

情報セキュリティ基本方針(ポリシー)

コンテンツ

はじめに

当社は、情報資産の適切な管理を重要な責務と考え、情報セキュリティの維持・向上に努めております。お客様および関係者の皆様に安心して製品およびサービスをご利用いただけるよう、情報セキュリティ基本方針(ポリシー)を定め、社内外に公開するとともに、遵守、実践してまいります。

情報セキュリティ基本方針(ポリシー)

1. 目的

本情報セキュリティ基本方針(以下、本ポリシー)は、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を踏まえ、エンカレッジ・テクノロジ株式会社グループ(以下、当社グループ)における情報セキュリティを確保するための対策、体制等の基本事項を定めるとともに、当社グループが、ICTの中でも情報セキュリティに関する製品およびサービスの提供を事業の根幹としていることに鑑み、グループ全体の情報セキュリティを厳格に確保しながら、製品およびサービスを通じてお客様の情報セキュリティの確保・向上に積極的に努め、当社グループの経営理念を実践することを目的とします。

2. 基本原則

  1. 当社グループは、その事業において、お客様またはお取引先である個人および組織から提供を受けた情報を適切に取り扱い、当該個人および組織の権利および利益を保護します。
  2. 当社グループは、その事業において、営業秘密、技術情報その他の価値ある情報を適切に取り扱い、当社グループの権利および利益を保護します。
  3. 当社グループは、研究開発および人材育成に努め、お客様の情報セキュリティの確保・向上に資する製品およびサービスを適時かつ安定的に提供することにより、お客様、ひいては社会の持続的発展に寄与します。

3. 情報セキュリティの定義

本ポリシーにおいて、次に掲げる用語の定義は、次に定めるところによるものとします。

  1. 「情報」とは、当社グループのものであるか否か、またネットワーク、書類その他流通形態を問わず、当社グループが業務上取り扱う情報として関連社内規程に定めるものをいい、公開情報、秘密情報および個人情報を含むものとします。
  2. 「情報セキュリティ」とは、情報の機密性、完全性、可用性を維持することを意味し、情報管理、物理セキュリティ、サイバーセキュリティを含むものとします。
  3. 「サイバーセキュリティ」とは、①データの漏洩、滅失、毀損の防止その他当該データの安全管理のために必要な措置、ならびに②ITシステムおよびネットワークの安全性および信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていることを意味します。

4. 情報セキュリティ体制

当社グループは、当社グループの情報セキュリティを脅かす様々な要因を事業遂行上のリスクとして認識し、以下の内容の情報セキュリティ体制を整備します。

  1. 常勤取締役、部門長、情報システムグループ長で構成されるリスク・コンプライアンス委員会が、当該リスクのマネジメントを統括するものとします。
  2. リスク・コンプライアンス委員会は、最高情報セキュリティ責任者を任命し、当社グループにおける情報セキュリティ対策の実行に関し、責任と権限を付与するものとします。なお、最高情報セキュリティ責任者は、情報システム管理業務や法務業務等の経営管理部門担当役員が担うものとします。
  3. 最高情報セキュリティ責任者は、職務の執行状況につき、リスク・コンプライアンス委員会に定期的または随時に報告するほか、必要に応じて取締役会に報告を行うものとします。

5. 情報セキュリティ対策

  1. 情報セキュリティ対策フレームワークの構築
    1. 当社グループは、グループ内において守るべき資産を特定し、その所在や内容を把握するとともに、ITシステムやネットワークの構成などを踏まえ、情報セキュリティ上のリスクを分析し、当該リスクに応じた情報セキュリティ対策を講じます。
    2. 当社グループは、情報セキュリティ対策を着実に実施するための計画を策定し、その実行を評価および継続的に改善するためのプロセス(PDCAサイクル)を整備します。
  2. 関連規程の整備および法令等の遵守
    1. 当社グループは、情報セキュリティ対策を適切に実施するための関連社内規程を整備し、役員および従業員に周知徹底させます。
    2. 当社グループは、情報セキュリティに関連する法令または社内規程の違反に対して、厳しく対処します。
  3. リソースの確保
    1. 当社グループは、情報セキュリティ対策を適切に実施するために必要な経営資源を確保・投入します。
    2. 当社グループは、高度なセキュリティ技術を保有する人材を、計画的かつ継続的に育成・確保します。
    3. 当社グループは、役員および従業員に対し、情報セキュリティに関する啓発と教育を行い、その重要性を認識させ、行動させます。
    4. 当社グループは、外部の情報共有活動に積極的に参加し、情報セキュリティ対策に反映します。
  4. サプライチェーンや外部委託先等における情報セキュリティ

    5. 当社グループは、サプライチェーンにおけるお取引先およびITシステムやネットワークの運用・管理に関する外部委託先に対して、当社グループの情報セキュリティに関する指針等を周知するとともに、当該指針等にもとづく適切な情報セキュリティの確保を求めます。

  5. 情報開示

    6. 当社グループは、情報セキュリティへの取り組みに関して、当社ホームページ等を通じて、情報セキュリティの確保に支障が生じない範囲で、開示します。

6. お客様の情報セキュリティ

  1. 当社グループは、情報セキュリティに関する製品およびサービスを通じて、お客様の情報セキュリティの確保・向上に積極的に努めます。
  2. 当社グループは、製品およびサービスの開発段階において、セキュリティ品質の確保に努めます。
  3. 当社グループは、情報セキュリティに関する研究開発を積極的に行い、常に技術・ノウハウの更新に努めます。

7. 情報セキュリティインシデント対応

当社グループは、情報セキュリティリスクの顕在化(「情報セキュリティインシデント」という)に備え、以下の内容の体制・対応方針を整備します。

  1. 報告体制や初動対応マニュアルを整備し、関係者に周知徹底させるとともに、定期的かつ実践的な訓練を行います。
  2. 情報セキュリティインシデントに対応するために、最高情報セキュリティ責任者の指揮の下、CSIRTを組織します。
  3. 最高情報セキュリティ責任者は、重大な情報セキュリティインシデントが発生した場合には、リスク・コンプライアンス委員会に報告するものとします。
  4. リスク・コンプライアンス委員会は、前項の報告があった場合、当該情報セキュリティインシデントの対応方針を決定するとともに、再発防止を指示し、必要に応じて取締役会に報告するものとします。

8. 本基本方針(ポリシー)の改廃

本基本方針(ポリシー)の改廃は、年1回以上の情報セキュリティ対策に関する評価、改善プロセスの結果にもとづくリスク・コンプライアンス委員会の決定によるものとします。但し、軽微な改訂は、最高情報セキュリティ責任者の裁量により、行うことができるものとします。

更新日 2020年7月27日

ホーム>情報セキュリティ基本方針(ポリシー)