セキュリティポリシー

ISO27001取得

会社が保有する情報資産の取り扱いにおいて、機密保持・安全確保に努めてまいりましたが、さらに管理体制・運用体制を強化すべく全社で取り組み、ついに2007年3月24日情報セキュリティマネジメントシステム国際規格「ISO27001」認証を取得しました。今後も、情報の『機密性』『完全性』『可用性』を確保し維持し続け、信頼性の高いサービスを提供してまいります。

情報セキュリティ基本方針

第六版 2016/11/1

目的

お客様の多様な要請に対し、絶えず質の高いサービスを提供し、強い信頼関係を確立することを目的に、本基本方針を定めます。

定義

情報セキュリティとは、『情報資産』を、単に『脅威から守る』ことだけでなく、情報の『機密性』『完全性』『可用性』を確保し維持することです。

  • 『機密性』 : 情報を取り扱うことを認められた人だけに限って取り扱えること
  • 『完全性』 : 情報資産そのものが正確であり、完全に処理されていること
  • 『可用性』 : 認められた利用者が、タイムリーに取り出し、使える情報資産であること

目標

情報セキュリティの目標は次の通りです。

     
  1. 『情報資産』の『機密性』を確保し、情報が漏洩されないようにする
  2. 『情報資産』の『完全性』を確保し、情報が改ざんされないようにする
  3. 『情報資産』の『可用性』を確保し、必要な情報が必要なときに利用できるようにする
  4. 万が一、情報セキュリティ事故が発生した場合も、その被害を最小限に留め、迅速な復旧を行い、再発を防止する

適用範囲

適用範囲は全部署とし、それらの部署が管理する情報資産を対象とします。
なお、外部委託先については、本方針に準拠した内容の契約を締結・適用します。

組織体制

情報セキュリティ活動を継続実施するため、『情報セキュリティ委員会』を設置します。
この委員会は、

  • 情報セキュリティ管理責任者
  • 情報セキュリティ責任者
  • 情報セキュリティ推進委員(略称:ISMSコーディネータ) ※各チ-ム単位
  • 情報セキュリティ事務局

で構成します。
また、委員会の活動状況は、社内マネジメントで組織するマネージャ会議において報告・協議するものとします。

リスクアセスメントの実施

ISMS(情報セキュリティマネジメントシステム)の確立・維持は、全社のリスク戦略との整合を図りながら行います。
また、情報の『機密性』『完全性』『可用性』および『脅威』と『ぜい弱性』によりリスクアセスメントを行い、高いリスクに対してはリスク対応などによりリスクの低減を図ります。

法令および規程の遵守

対象者(社員、契約社員、パート社員、派遣社員および協力会社社員)は、著作権法、不正アクセス行為の禁止等に関する法律、個人情報保護法など、情報セキュリティに関連する法令、業界のガイドラインおよび契約上のセキュリティ義務を遵守します。

対象者の責務および継続的教育の実施

対象者には、本方針をはじめ、情報セキュリティに関する規程やマニュアルの内容を熟知し遵守するために必要な教育を、継続的に実施します。

継続的改善

情報セキュリティが遵守されていることを点検するため、定期的および必要に応じて、内部監査を実施します。この監査による改善に加え、情報システムの変更や新たな脅威などの環境変化に対応した見直しを行い、継続的な改善を実施します。

罰則

情報セキュリティに関する規程に違反する行為を行った対象者は、下記のとおり罰則を設定します。
社員、アルバイト社員   : 就業規則等に則り、懲戒等の対象とする。
派遣社員、協力会社社員  : 契約違反として、契約終了を含む懲戒等の処分を適用する。

2016年11月1日
オリックス・ビジネスセンター沖縄株式会社
取締役社長  片平 聡