情報セキュリティ基本方針

IS 55372 / ISO 27001

(適用範囲)

1.OSS運用グループにおけるオンサイトスタッフ管理業務とOSS関東マルチチームにおけるオンサイトサポートサービス業務及び情報システム部における関連システムに係る業務
2.FVCグループにおけるコールセンター業務
3.アプリケーションシステムの設計、開発及び運用

2015年4月1日付 適用宣言書2版  


キューアンドエー株式会社  
代表取締役社長 牛島祐之  

情報セキュリティの目的

当社の情報資産・お客様より預かった情報資産を脅威から守り、そのために必要な情報セキュリティの確保に取り組み、事業活動を継続的にかつ安定的に確保することが当社の社会的責任であり、これを実現するために情報セキュリティ基本方針を定める。適用範囲に含まれる従業員(正社員、協力会社、契約社員、業務委託スタッフ、パート、アルバイトを含む)は本趣旨を理解し、情報セキュリティ基本方針、規程、手順書を熟知し、遵守しなければならない。

情報セキュリティの定義

情報セキュリティとは情報資産を脅威から守り、情報の機密性・完全性・可用性を確保し維持することをいう。

機密性 :
情報は許可された者だけがアクセスできることを確実にすること
完全性 :
情報及び処理方法の正確さ及び完全である状態を防護すること
可用性 :
許可されたユーザが必要時に情報及び関連資産にアクセスできることを確実にすること

情報セキュリティの目標

当社は以下の情報セキュリティ目標を設定する。

1) 情報資産の機密性を確保し、情報が漏洩されないようにする。
2) 情報資産の完全性を確保し、情報が改ざんされないようにする。
3) 情報資産の可用性を確保し、必要な情報が必要なときに利用できるようにする。
4) 万が一情報セキュリティ事故が発生した場合も、その被害を最小限にとどめ、迅速な復旧をおこない、再発を防止する。

情報セキュリティ組織体制

情報セキュリティを実施するために「ISMS委員会」を設置する。また、情報セキュリティ維持の責任者として情報セキュリティ管理責任者を社長が任命する。

リスクアセスメントの実施

ISMSの確立及び維持は、組織の戦略的なリスクマネジメントの観点との整合を図りながらおこなう。また、情報の機密性・完全性・可用性及び脅威、ぜい弱性によりリスクアセスメントをおこない、高いリスクに対してはリスク対応などによりリスクを低減する。

法令及び規程の遵守

全従業員は、不正アクセス行為の禁止等に関する法律、個人情報保護法など情報セキュリティに関連する法令および業界のガイドラインなどを遵守しなければならない。

教育

適用範囲に含まれる従業員ならびに当社への出向者、外部委託先の従業員に本ポリシーの内容を周知徹底し、情報セキュリティを維持するため、必要な教育を継続的に実施する。

事業継続管理

災害、故障などによる事業の中断を最小限に抑え、事業の継続性を確保するよう措置を講ずる。

継続的改善

情報セキュリティが遵守されていることを点検するために、定期的および必要に応じて内部監査を実施する。この監査による改善に加え、情報システムの変更や新たな脅威等の環境変化に対応した見直しをおこない、継続的な改善を実施する。

罰則

情報セキュリティに関する規程に違反する行為をおこなった従業員は、就業規程の定めるところにより懲戒等の対象とする。

制定:2009年4月1日