文字の大きさ

  • 標準

ISMSの取り組み

ISMS

平成18年11月1日、北上支社にてISMS(Information Security Management System、情報セキュリティマネジメントシステム)の国際標準規格であるISO/IEC27001:2005、及びJIS規格であるJIS Q 27001:2006の認証を取得しました。

国際規格ISO/IEC27001:2005、JIS Q 27001:2006の認証を取得(北上支社)

当社は、平成18年11月1日、北上支社におけるパッケージソフト、セキュリティソフト、受託開発ソフト、及びWebアプリケーションのソフトウェア開発・運用業務を対象として、ISMS(Information Security Management System、情報セキュリティマネジメントシステム)の国際標準規格であるISO/IEC27001:2005、及びJIS規格であるJIS Q 27001:2006の認証を取得しました。

確定申告支援ソフトウェア「税務LAN」を初めとして様々な運用業務への支援ソフトウェアを開発・運用保守し、お客様の情報を取扱う業者として情報の保全・管理を徹底してまいりましたが、平成17年4月の個人情報保護法の完全施行など社会の情報セキュリティへの関心が 一層高まる中で、当社のIT企業としての社会的責任を改めて自覚すると共に、当社の情報セキュリティへの取り組みの有効性を証明するため、 ISO/IEC27001/JIS Q 27001の認証を取得しました。

今後は、北上支社で実践したISMSの取り組みを全社に拡大し、店頭でのお客様ならびにお取引をさせていただいているお客様の情報の取扱、保護をより確実に実施していく所存です。今後ともよろしくお願いします。

平成18年12月1日
代表取締役 伊東 正文

登録内容一覧(JIPDECから引用)

事業所名称 株式会社リードコナン 北上支社
所在地 岩手県北上市相去町山田2番19号
認証基準 JIS Q 27001:2014(ISO/IEC 27001:2013)
認証登録番号 JP09/080088
登録範囲

パッケージソフトウエアの企画・設計・開発・導入・運用保守
セキュリティソフトウエアの企画・設計・開発・導入・運用保守
顧客からの受託システム・ソフトウエアの企画・設計・開発・導入・運用保守
Webアプリケーションの企画・設計・開発・導入・運用保守
【適用宣言書】第5.0版

 

関連事業所
・山陰開発センター
   島根県松江市北陵町1番地 テクノアークしまね南館(レンタルオフィスJ)
 [活動範囲:同上]

初回登録日 2009年8月19日
有効期限 2024年11月1日
認証登録機関 SGSジャパン株式会社 認証サービス事業部
(ISR021)

取り組み

当社は、ISMSに適用されるPDCAモデルを用いて、セキュリティの継続的改善を実践します。

《1》Plan(計画)

組織の構造・環境及び目標に沿った結果を出すための、情報セキュリティ方針、規程を確立します。

《2》Do(実施)

セキュリティ基本方針、規程及び計画を実施・運用します。

《3》Check(点検)

セキュリティ基本方針、規程、計画の他に、実際の経験などからセキュリティ運用状況を客観的な観点で点検・評価し、改善のための報告・レビューを行ないます。

《4》Act(処置)

マネジメントレビューの結果に基づき、セキュリティの継続的な改善を達成すべく、適切な是正・予防処置を講じます。

PDCAモデル

■ セキュリティ委員会の組織
ISMSを運用するためのセキュリティ委員会を組織し、定期的なセキュリティの順守状況や脅威に対する対策の制定、結果報告などの活動を行います。
■ リスク分析・対応計画
当社では、自社の設備、情報資産ならびにお客様からお預かりしている情報に対してリスク分析を行い、対策が必要な箇所には対応計画を作成、実施します。
■ 教育
社員に対してISMSの仕組み、順守すべき規程を教育し、ルールはもとよりセキュリティ意識を高めるようにします。また、運用する立場の者には技量を高めるための専門の教育を施します。
■ 内部監査
セキュリティ委員会で実践している内容が有効であるかどうか、被監査部門外の者による内部監査を実施し、気付きにくい脅威・脆弱性について評価を行います。
■ 事業継続計画
事業・業務の継続が困難な事象に見舞われても迅速に改善・復旧できるように、事前に障害を想定した継続計画の策定・及び訓練、テストを実施し、計画の有効性を確認します。

情報セキュリティ基本方針

株式会社リードコナン(以下、「当社」という)は、「ISO/IEC27001の要求事項」に従い、「情報セキュリティ基本方針」を定め社員に周知すると共に外部関係者に公表いたします。

V.1.0
制定日:2005年11月01日
株式会社リードコナン
代表取締役 伊東 正文

1.目的

この情報セキュリティ方針(以下、基本方針)は、当社における情報セキュリティマネジメントシステム(以下、ISMS)構築・運用にあたっての基本的な方針をあきらかにしたものである。今後は、この基本方針をISMSの拠り所として位置付ける。

2.基本声明

パソコンの普及とネットワーク化の進展によってすべての業務が情報システムに依存する状況になった。インターネットの普及もあいまってコンピュータは、社会・経済生活から一般の家庭生活のなかにまで深く浸透し、誰もが操作できる環境になった。実際、コンピュータウィルスの感染や不正アクセスは、誰がいつ被害を受けても不思議ではない状況にある。

まさにインターネット環境がビジネス活動のインフラとなり、eビジネスやBtoB、BtoCなどでの取引が日常的になったいま、インターネットの利便性を享受する一方、脅威やリスクから社内の情報資産を守る事が必須になっている。

当社は、情報セキュリティポリシーに基づくさまざまな管理策の定着確認・改善・監視などを徹底することによって、IT企業としての社会的責任を果さなければ成らない。

実際、コンピュータウィルスの感染や不正アクセスは、誰がいつ被害を受けても不思議ではない状況にある。
ネットワークを介しての個人情報の漏洩やホームページの改ざん、情報の盗難などへの対処も保護する設備や対策を整え管理するためのルールを作成し社員一丸となってお客様へのニーズに応える事を宣誓する。

3.情報セキュリティの定義

情報セキュリティとは、機密性・完全性・可用性を保護し維持することをいう。場合によっては、真正性、責任追跡性、否認防止及び信頼性のような特性を含むものとする。

機密性 許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性
完全性 資産の正確さ及び完全さを保護する特性
可用性 許可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性
真正性 主体又は資源が要求されているものと同一であること
責任追跡性 エンティティ(団体等)の動作が、一意に追跡できること
否認防止 活動又は事象が起きたことを、後になって否認されないように証明する能力
信頼性 意図とした動作及び結果に一致する特性

4.情報セキュリティの目的

当社のISMS適用範囲の業務は、地方自治体向け税業務管理運用支援ソフトウェア「税務LAN」をはじめ、各種業務ソフトウェア、システムの企画・設計・開発・導入及び運用保守である。

これらの業務において、主管部門である開発部門における情報セキュリティの最大の目的は、当社の業務目的を達成する上で最大限に注意を払うべき重要な情報及びそれに伴う情報資産を保護することである。

我々はこの情報に対して法律・規制若しくは外部関係機関や顧客からのどのような条件を示されているかを認識し遵守するとともに、その内容がお互いの業務 の目的にとって不十分である場合には適切な提言をおこない、互いの信頼関係を確固たるものとし、互いの繁栄を達成するように努めなければならない。

5.コンプライアンス

当社の事業に関わる法令、情報セキュリティに関する各種規制を遵守することは情報セキュリティの第一歩である。また、お客様との契約についても、その重 要性を認識し遵守することがお客様の信頼を勝ち得るために非常に重要である。これらを踏まえ、我々は以下について遵守するよう努めなければならない。

  1. 情報セキュリティに関連する契約条件を遵守すること
  2. 就業規則等を遵守すること
  3. ISMSで規定した規則を遵守すること
  4. 当社の業務に関わる法律、規制、ガイドラインを遵守すること

6.社員の責務と義務

基本方針に基づくISMSの確立、運用、維持、改善は、情報セキュリティ統括責任者(以下、CISO)を代表取締役とし、情報セキュリティ委員会によってすべての情報セキュリティ関連の活動を統制する。

CISOは、情報セキュリティ委員会の活動に対し定期的なチェックを行う。

CISOは、適切な基準及び実施手順に基づき基本方針の実施を促進する。社員及び当社で仕事に従事するものはすべて(社員等)、基本方針を維持するために策定された手順に従わなければならない。また、社員等は、事故及び特定された弱点をCISOに報告する責任を要する。

7.リスク評価方針

基本方針に基づき、当社の状況に適したリスクアセスメントの方法を決定し、これを首尾一貫して適用することにより、リスクの実態や変化が明らかになる。 リスクアセスメントの方法は資産価値、脅威及び脆弱性についてその相対的な重みを明らかにし、管理策の内容及び程度を決定することに通じるものとする。

8.運用方法

基本方針の運用は運用手順に従い、定期的に内部監査を行い基本方針が遵守されているか確認する。

9.罰則

社員が当社、顧客、関係部門の情報資産の保護を危うくする故意の行為を行った場合は、懲戒処分、法的処分の対象となる。

10.レビュー

  1. CISOは本基本方針を作成し、レビューを行う。
  2. 当社は、定期的(年1回)または組織環境、業務環境、法的状況、技術環境変化など必要が生じた場合に、CISOを議長として情報セキュリティメンバーを会してマネジメントシステムのレビューを行う。 その際、本基本方針の適切、妥当及び有効であるかレビューも行う。
  3. 基本方針、規程類のレビューが行われた場合には、それらの適切、妥当及び有効であることを確実にする

PAGE TOP