株式会社SICデジタル 取得認証

セキュリティポリシー ISO27001 認証取得

今日、コンピュータを利用したデジタルネットワーク社会の発展に伴い、企業活動においては情報セキュリティに対する取り組みは必須になっており、個人情報の保護は社会的な責任を果たす上で重要であり、企業秘密情報の保護は企業経営上の基本方針とすべき事項であります。しかし、ネットワーク化や情報共有の推進により、個人情報、顧客機密情報及び企業秘密情報が漏洩・暴露や改ざんといった情報セキュリティ上の脅威にさらされる危険性も増大しています。

このような中、当社では、お客様からお預かりする情報、自社の情報を数多く取り扱うことから、保有する情報資産の改ざん、漏洩、流出を防止するための対策の効果を最大限に上げるために、情報セキュリティマネジメントシステム(ISMS)を構築・運用し、2014年4月23日に、情報セキュリティマネジメントシステムの国際規格であるISO/IEC27001:2005の認証を、ASR社より取得しました。

継続して、健全な企業活動のために、経営の基本原則として情報セキュリティ基本方針を定め、これを関係者に周知徹底させ、日々の業務において、情報セキュリティの確保に努めます。

ISO 27001
適合資格 ISO/IEC27001:2013
登録証番号 ASR-J0136
認証取得日 登録範囲拡大認証 2014年4月23日
登録改訂(移行) 2017年 5月10日    有効期限 2020年 6月 5日
対象事業所 エー・エス・エル 東京本社 東京都中央区勝どき1-7-3
株式会社SICデジタル 大阪本社 大阪府吹田市広芝町12-25
株式会社SICデジタル 東京支社 東京都中央区勝どき1-7-3
※ 株式会社SICデジタルは関西システムソリューションズとして取得
※ 各事業所において社外常駐作業者は除く

情報セキュリティ基本方針

当社は、健全な企業活動のために、お客様からお預かりする情報資産及び当社の情報資産に対し、必要な保護と適切な安全対策を講じることにより、漏えい、改ざん、紛失、破壊、利用妨害等といったさまざまな危険や脅威から情報資産を守り、機密性、完全性、可用性、遵守性を維持すべく、経営の基本原則として情報セキュリティ基本方針を策定し、これを関係者に周知徹底させ、日々の業務において、情報セキュリティの確保に努めます。

  1. 当社が保有する顧客情報や企業秘密情報、及び取扱う取引先の情報などの機密情報(個人情報を含む)や企業の責任において公開する情報など、保護が必要な情報資産に対して、機密性、完全性、可用性、責任追跡性、真正性、信頼性を確保するために、当社が所管するすべての情報関連施設や情報システム及びその取扱者に適用します。
  2. 情報資産に対する情報セキュリティ上の脅威、脆弱性に対し、リスクを評価する基準及びリスクアセスメントの手順を確立するとともに、取扱う情報資産に応じ、適切な管理策を計画的に実行して、リスクを受容水準まで低減します。
  3. 顧客等をはじめとする利害関係者のセキュリティ要求事項及び法的及び規制要求事項を明らかにするとともに、社内外の情報セキュリティ上の課題を含めて対処する必要があるリスク及び機会を特定し、目標管理により対策を実施します。
  4. 情報セキュリティに関わるオーソライズのために、情報セキュリティ委員会を設置し、その中から情報セキュリティ管理責任者を任命します。また、情報セキュリティ基本方針の遂行のため、情報セキュリティ管理部署を設置し、情報セキュリティに関する推進及び運用の役割と責任を明確にします。
  5. 情報資産の取扱者に対し、必要な教育を行い、法令、規制及び契約上の要求事項、並びに情報セキュリティに関する規定要求事項で定められたルールの順守を徹底します。
  6. 内部監査員を定め、情報セキュリティマネジメントシステムの監査を定期的に実施し、情報セキュリティマネジメントシステムの適合性、有効性、及び定められたルールを順守していることを検証します。
  7. 情報セキュリティの基本方針や管理策等は、業務内容や社会情勢の変化等を考慮し、定期的または必要に応じて見直しを行い、情報セキュリティの継続的改善を図ります。
  8. 事業継続管理の手続きを策定し、回復管理策を準備します。それにより、何らかの要因で事業の継続が中断する状況に至った場合でも、迅速な事業の再開を可能とします。
  9. 社員等が情報セキュリティの順守すべき事項に違反した場合は、就業規則に基づいて処分されます。
  10. 個人情報については、プライバシーマーク制度に準拠した当社の「個人情報保護方針」に準じて管理します。
  11. 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(「マイナンバー法」)に基づく特定個人情報及び個人番号(「特定個人情報等」)の適正な取扱いの確保について組織として取り組むため本基本方針を定め、準じて管理します。
制定日:2013年11月 1日
改訂日:2015年 1月15日
株式会社SICデジタル
代表取締役社長 新谷 忍

アクセス制御方針

当社における情報システム及び情報ネットワークへのアクセスを適切に制御し、管理します。 職務権限及び業務に合致した情報システム及び情報ネットワークにアクセスするための規定・手順を明確に定めるためのアクセス制御の基本原則として、以下のアクセス制御方針を定めます。

  1. 業務用ソフトウェアのアクセス権は、必要最低限の利用者に与え、認証アカウントの登録/変更/削除については、申請、認可、管理の手順を遵守し、関係者以外には伝達しません。
  2. 情報は適切に分類し、職務権限レベル、部署(全社/事業所/部署/グループ)、プロジェクトグループに対応する関係者又は関係グループのみにしか伝達しません。
  3. 当社情報システムの職務権限レベルに応じたアクセス権限の登録/変更/削除については申請、認可、管理の手順を遵守します。
  4. 利用者アカウント(職務プロファイル)の登録/変更/削除について申請、認可、管理の手順を遵守します。
  5. 異なるシステムを運用する場合は、状況に応じてネットワークを物理的あるいは論理的に分離します。
  6. データ又はサービスへのアクセスの保護に関連する法令及び契約上の義務は、該当データの暗号化の実施及びサービスへの認証アカウントの登録/変更/削除を管理します。
  7. アクセス権は、利用者の人事異動(所属異動、退職等)、契約変更、及びプロジェクト等業務終了時に、アクセス権の削除、更新手順に則って遅滞なく実施します。
  8. 当社情報システムのアクセス権設定状況及び利用者アカウントのレビューを定期的に実施します。
制定日:2014年10月28日
株式会社SICデジタル
代表取締役社長 新谷 忍

暗号化による管理策の利用方針

当社における、情報ネットワークの転送経路、転送データにおいて適切に暗号化すること、並びに情報システム、可搬情報機器及び可搬記憶媒体に保管するデータの暗号化を適切に行います。暗号化について規定・手順を明確に定めるための暗号化の基本原則として、暗号化による管理策の利用方針を以下に定めます。

  1. 暗号化の基本方針
    情報の機密性、真正性、完全性を保護するために以下の場合に暗号化を行います。
    1. 社内及び社外ネットワークを利用して機密情報を転送する場合
    2. 電子データを記録する全ての可搬情報機器及び可搬記憶媒体を社外に移動させる場合
    3. 電子データ形式の厳秘情報(個人情報を含む)を保管する場合
    ※アクセス権限を設定した場所に保管する機密情報についても、機密度が高い情報は保護をより完全にするために暗号化を行うこととします。
  2. 機密情報取扱い毎の暗号化方針
    1. 電子メールに添付する機密情報全て(営業情報、契約情報、開発情報、個人情報等)について暗号化します。
    2. 社外のWebサイトへアップロードする機密情報全て(営業情報、開発情報、契約情報、個人情報)を暗号化します。(お客様Webサイトで、許可を得ている場合は除きます)
    3. 社外のサーバへ転送する機密情報全て(営業情報、開発情報、契約情報、個人情報)を暗号化します。(お客様サーバで、許可を得ている場合は除きます)
    4. 可搬情報機器/可搬記憶媒体に機密情報を格納して社外に移動させる場合は、機密情報を暗号化します。
    5. 自社用の社内サーバ/外部サーバ/クラウドシステムのアクセス権限で保護した場所においても、機密度が高い情報(個人情報を含む)を格納する場合は、暗号化を行います。
    6. 個人情報、見積情報、契約情報を収集するWebサイトを構築する際は、暗号化通信(SSL通信)を施します。その際は、認証局の証明書を取得します。
    7. 認証局の証明書の秘密鍵は、適切に管理します。
    8. 公衆ネットワーク(インターネット等)を経由する通信経路(VPN等)を構築する際は、暗号化通信(IPsec、SSL等)を用います。
制定日:2014年10月28日
株式会社SICデジタル
代表取締役社長 新谷 忍

知的財産保護に関する基本方針

  1. 特許法、著作権法、その他知的財産権に関する法令を遵守します。
  2. 自社の知的活動の成果を知的財産権によって保護し、これを積極的に活用するとともに、第三者の正当な知的財産権を尊重し、侵害しません。
制定日:2015年2月18日
株式会社SICデジタル
代表取締役社長 新谷 忍