情報セキュリティポリシー
- TOP >
- 情報セキュリティポリシー
情報セキュリティポリシー
基本理念
当社は、オンプレミス及びクラウド型ソフトウェアの開発・販売・保守サービスを通じて、お客様のビジネス成長と社会のデジタル化に貢献することを使命としています。
デジタル社会の発展に伴い、サイバー攻撃の高度化・巧妙化や情報セキュリティに対する社会的要請の高まりにより、情報セキュリティの確保は企業の社会的責任として益々重要性を増しています。
当社においても、お客様からお預かりした情報資産及び当社の営業秘密・技術情報等の重要な情報資産を、様々な脅威から適切に保護することは、事業継続の基盤であり、社会からの信頼を得るための重要な責務です。 当社は、情報セキュリティの確保を経営の最重要課題の一つとして位置づけ、組織的かつ継続的に情報セキュリティに取り組むことにより、お客様に安心してご利用いただける製品・サービスを提供し、持続可能な事業発展と社会への貢献を実現することを宣言します。
基本方針
-
-
- 法令遵守及び契約履行
情報セキュリティに関連する法令、規制、業界標準、及びお客様との契約事項を遵守し、社内規程類を整備してこれに従って業務を遂行します。 - 情報セキュリティ管理体制の確立
最高情報セキュリティ責任者(CISO)を設置し、情報セキュリティ委員会を組織することにより、全社的な情報セキュリティ管理体制を確立します。各部門における情報セキュリティに関する権限と責任を明確化し、適切な管理を実施します。 - リスクアセスメント及び対策の実施
情報資産に対する脅威とリスクを体系的に分析・評価し、定期的なリスクアセスメントを実施します。その結果に基づき、技術的・物理的・人的セキュリティ対策を適切に実装し、継続的に改善します。 - ソフトウェア開発におけるセキュリティ確保
・セキュアコーディング:開発段階からセキュリティを考慮した設計・実装を行います
・脆弱性管理:定期的なセキュリティテスト、脆弱性診断を実施し、発見された問題に迅速に対応します
・サプライチェーンセキュリティ:使用するOSSやサードパーティ製品の脆弱性を継続的に監視・管理します - クラウドサービスにおけるセキュリティ管理
・データ保護:クラウド環境における顧客データの暗号化、アクセス制御、バックアップを適切に実施します
・インフラセキュリティ:クラウドインフラの設定管理、監視、ログ管理を徹底します
・責任共有モデル:クラウドプロバイダーとの責任分界を明確化し、当社責任範囲のセキュリティを確実に実施します - アクセス制御及び権限管理
「Need to Know原則」及び「最小権限の原則」に基づき、情報資産へのアクセス権限を厳格に管理します。特に、顧客データ、ソースコード、システム管理権限については、多要素認証を含む強固な認証・認可システムを実装します。 - インシデント対応及び事業継続
情報セキュリティインシデントの発生に備えた対応手順を確立し、インシデント発生時には迅速かつ適切な対応により被害の最小化を図ります。また、事業継続計画(BCP)を策定し、重大なインシデントが発生した場合でも事業継続を確保します。 - 従業員教育及び意識向上
全従業員に対して定期的な情報セキュリティ教育・訓練を実施し、情報セキュリティリテラシーの向上を図ります。特に、開発者に対してはセキュアコーディング、クラウドセキュリティに関する専門的な教育を継続的に行います。 - 監査及び継続的改善
情報セキュリティポリシーの遵守状況及び管理体制の有効性について、定期的な内部監査及び外部監査を実施します。監査結果に基づき、必要な是正措置を講じ、情報セキュリティマネジメントシステムの継続的改善を行います。 - 外部サービス及び委託先管理
クラウドプロバイダー、SaaSサービス、業務委託先等の外部サービス利用時には、適切なセキュリティ評価を実施し、契約においてセキュリティ要件を明記します。継続的な監視により、利用する外部サービスが適切なセキュリティレベルを維持していることを確認します。
- 法令遵守及び契約履行
-
適用範囲
本ポリシーは、当社の役員、正社員、契約社員、派遣社員、及び当社の情報資産にアクセスする可能性のある全ての関係者に適用されます。
見直し
本ポリシーは、法令改正、技術動向、脅威環境の変化等を踏まえ、定期的に見直しを行い、必要に応じて改定します。
DOWNLOAD
