情報セキュリティについて

 
 
  1. ホーム
  2. 情報セキュリティについて

情報セキュリティ基本方針


 

ヤマトマネージメントサービス株式会社は、多くのお客様の大切な個人情報をお預かりしています。以前から厳重な管理を行ってきましたが、企業による個人情報漏えい事件の続発などの社会情勢に鑑み、ヤマトグループが2003年3月に行った「情報セキュリティ確保宣言」に則り、「個人情報の保護」「企業情報の守秘義務」「改ざん・隠ぺいの禁止」を重点遵守事項として、情報セキュリティの強化を図ってきました。
 これからも顧客情報を含む全ての重要情報資産の適切かつ安全な取り扱いのために、情報セキュリティマネジメントシステムを下記の通りに確立し、情報セキュリティに関するルールの浸透、教育機会の拡充などにより、顧客信頼度向上に努めていきます。

 
 

1) 当社に最適な情報セキュリティマネジメントを実施できる体制を作ります。

 

2) 保有する資産の価値に応じた情報セキュリティ方針を策定し、その方針に基づいた
    管理策を適用した上で事業を行います。

 

3) 情報セキュリティマネジメントの効率的な運営を行うために、最適な社内横断組織を
    設けます。

 

4) セキュリティ要求事項を周知徹底するために、全従業者及びその他関係者に適切な
    教育を実施します。

 

5) 情報セキュリティマネジメントシステムの運用状況を監視し、維持及び継続的な改善
    を行います。

 

6) 全従業者は、情報セキュリティ関連規程を順守するものとし、違反した場合には、
    規程に準じた罰則を適用します。

 
 

制定日:2020年11月 1日

改定日:2020年12月16日

 

ヤマトマネージメントサービス株式会社

代表取締役社長 片倉由美子 



情報セキュリティ個別方針


 

1.情報資産管理

   当社のISMS適用範囲で使用する情報資産を適切に管理するため、使用する情報
  資産を洗出し、その重要度に応じた、管理策を選択し、実施する。
   管理策を適切に実施するため、対象となる情報資産の責任者を明確にし、重要度に
  応じたラベリングや取り扱いの許容範囲の設定などを実施し、維持する。
   情報資産をISMS適用範囲外に持ち出す際の認可プロセスを確立し、実施する。
  また、持ち出した際の外部での使用におけるリスクを識別し、適切な対策を実施する。
   情報資産の処分(廃棄)、及び再利用にあたっては、情報資産が不適切に使用される
  ことを防止するため、確実に消去する手順を確立し、実施する。

 

2.組織的人的セキュリティ対策

   組織内の情報セキュリティ活動を確実にするために、全ての関係者の役割・責任を
  明確にし、関係者間の調整機能や、経営資源導入・変更に関する認可プロセス、リスク
  コミュニケーション、内部監査などの組織的な対策を確立し、実施する。
   全ての関係者に対して、実施する情報セキュリティ対策の内容を理解し、実施することを
  確実にするための教育・訓練を継続的に実施し、記録を保持する。
   全ての関係者は、その関係が変更又は解消される際には、与えられた権限や貸与物が
  変更・削除又は返却されるように、責任者を明確にし、確実に実施される仕組みを確立し、
  実施する。

 

3.アクセス制御

   当社のISMS適用範囲で管理する情報資産を、不正利用や誤使用などの不適切な
  アクセスから保護するために、利用者の識別・認証(本人であることを確認)、情報資産
  へのアクセス権限の適切な設定、不正アクセスの早期発見、アクセス記録の取得などの
  対策を実施し維持する。

 

4.暗号

   情報資産の機密性、真正性、完全性を保護するために、情報資産の重要性、可用性、
  及び技術の進歩を考慮して、適切な暗号化技術を適用する。

 

5.物理的環境的セキュリティ対策

   情報資産を保護するために必要な施設及び情報資産に対する不正アクセスを防止する
  ために、物理的セキュリティレベルを定め、そのレベルに従った入退管理策や、火災、洪水
  、地震、爆発、暴力行為、及びその他の自然災害又は人的被害からの物理的な保護対策
  を実施し、維持する。
   セキュリティレベルの高い境界内での不正作業や誤作業を防止するための対策を実施
  し、維持する。
   パソコンやサーバー等の装置及び装置の稼働を維持するために必要な電源、ケーブル
  等の設備全般に対して、環境上の脅威、災害、不正アクセスなどから保護するための対策
  を実施し、維持する。
   装置をISMS適用範囲外に持ち出す際の認可プロセスを確立し、実施する。また、持ち出
  した際の外部での使用におけるリスクを識別し、適切な対策を実施する。
   装置の処分(廃棄)、及び再利用にあたっては、情報資産が不適切に使用されることを防
  止するため、確実に消去する手順を確立し、実施する。

 

6.通信及び運用管理

   重要な情報処理設備の運用においては、不正操作や誤操作を防止するために、職務及
  び設備の分割、操作手順書の整備などの対策を確立し、実施する。
   システムの可用性及び完全性を維持するため、システム容量管理や情報資産のバック
  アップなどの対策を確立し、実施する。
   マルウェア(悪意のあるコード及び認可されないモバイルコードなど)からの保護のため
  に、検出、予防及び回復のための対策(利用者の意識向上の重要性を含めて)を確立し、
  実施する。
   あらゆる情報交換(物理的配送、電子メールなど)において、リスクを認識し、適切な対策
  を確立し、実施する。
   認可されていない情報処理活動の検知及び障害時の対策に使用するため、システム使
  用状況や作業ログ、障害ログなどを適切に取得し、ログに対する不正アクセスからの保護
  及び適切な期間の保持を実施する。

 

7.システムの取得、開発及び保守管理

   情報システムの取得、開発及び保守管理のプロセスにおいて、不正行為又は誤作業等
  に起因する情報セキュリティインシデントの発生を未然に防ぐために、対策方針に従って、
  環境を整備し、規則を策定して、プロセスを実施する。
   情報システムの実装にあたって、情報セキュリティ要件を満たすことを確実にする。
   インターネットを介して利用するアプリケーションサービス(電子商取引など)を利用する
  場合は、そのリスクを認識し、適切な対策を確立し、実施する。

 

8.供給者関係(外部委託及び第三者の提供するサービス)管理

   業務を外部委託する場合及び第三者が提供するサービスを利用する場合に、経営効率
  の向上を図ると同時に、情報セキュリティを確保するために、供給者に求める情報セキュリ
  ティ要求事項を特定し、事前に供給者と合意し、実施する。
   また、合意内容の監視及びレビューを適時実施し、必要に応じて合意内容を見直す。

 

9.情報セキュリティインシデント管理

   情報セキュリティ事象(インシデント及びインシデントに繋がるかも知れない弱点)を早期
  に発見し、適切な対処を迅速に実施するために、情報セキュリティ事象の検知手順、真の
  原因を除去するための是正処置及び未然防止のための予防処置の手順を明確にし、実施
  する。

 

10.事業継続管理

   当社のISMS適用範囲の事業継続に重大な影響を与える情報セキュリティ上の事件・事
  故が発生した際に、業務を早期に復旧及び継続するための計画(事業継続計画)を策定し
  、維持する。

 

11.順守

   情報セキュリティに関わる法令、規制又は契約上のあらゆる義務、及びセキュリティ上の
  あらゆる違反を避けるために、関連する事項の洗い出しと対策を実施し、維持する。
   順守を確実にするために、監査活動に留まらず日常の自主点検や定期的な技術的点検
  を実施する。

 
 

制定日:2020年11月 1日

 

ヤマトマネージメントサービス株式会社

代表取締役社長 片倉由美子 


このページのトップへ