|
|
||||
| 1. 情報セキュリティの定義と重要性について | |
|
情報セキュリティとは、情報の機密性(保管保護)、完全性(正確性)、可用性(効率性)を維持していくことです。 会社の仕事を見える化して、ムリをなくす、ムラをなくす、ムダをなくすことは、会社をより健全にしていきます。 そして、それだけでなく、 関係者に迷惑をかけない「ものづくり」を向上させ、会社の信頼性を永続的に持続可能にしていきます。 また、それは、わたくしたちの会社だけでなく、 受注先、発注先、こどもたちと親や養育者、そして、地球の、みんなの幸せにつながっていきます。 わたしたちが、これからの世界がめざしている、地球環境の健全な一部となる経済=「無駄のない社会」に貢献して いくためにも、情報セキュリティとの取組みは、わたくしたちの会社において最重要事項です。 |
|
| 2. 情報セキュリティマネジメントシステム導入の目的 | |
|
1995年、WEBサイトを立ち上げた時から、 わたしたちは、リスクとして「情報セキュリティの重要性」を認識してきました。 それから、10年以上にわたり、 無事故で情報セキュリティを維持できたのは、ひとえに、情報を取り扱う「人」の能力と誠実さであり、 仕事に対する責任感にあったといえるでしょう。 でも、これから先も、これまでと同じやり方で対応できるのだろうか。 ますますネットワーク化する情報社会、ハイスピードで変化していくIT技術。技術革新は「人」の意識も、 資質さえも、さまがわりさせます。そして、わたしたちの会社の世代交代も目の前に迫っていることも考えにいれて、 2006年、 わたしたちは、今まで以上に、「情報セキュリティの重要性」を再認識し、国際基準という客観性の中で、 情報の取扱いを見直すために、情報セキュリティマネジメントシステム(以下「ISMS」という。)の導入・構築を図り、 積極的な取組みを行うことを決議しました。 2009年、 ISMS導入の3年間の成果を踏まえ、消費型経済社会から循環型の無駄のない社会をつくっていく時代に向け、 いままで以上に、「良質な仕事」を維持していくためには、 より意識の向上を図り、ステップアップするためにISMS継続を再決議しました。 わたしたちの会社は、何に対しても、「自分たちの頭で整理して考えて行動する」主義ですから、 頭を使い、整理し、誠実に、ものごとに対処していくことに変わりはありませんが、 これからの3年間のキーワードに、節約、整理、整頓、清潔、しつけ、清掃という、6つのSを選択しました。 ISMS規定の目的をより明確化して、 一番大切な情報資産は「人」という、わたしたちの会社の経営理念に基づいて、経営者の陣頭指揮のもと、 PDCAプロセス (Plan, Do, Check, Act) の手順をくり返し実施し、社会的責任を果たしていきます。 |
|
| 3. ISMSの適用範囲、及び適用対象 | |
|
わたしたちの会社のISMS適用範囲は、「制作現場ならびにその成果物と製品情報」です。 その適用対象は、企画制作会社リトルスタジオインク(株)と、その関連会社である(株)パンケイクス、 一般社団法人イエローピンプロジェクト、販売会社(株)ホームメディアが取り扱う「情報及び情報資産」、 そして、前述の4法人のすべての役員、社員、委託業務先及び第三者の利用者です。 |
|
| 4. 顧客・法令・規格要求事項とセキュリティ義務の考慮 | |
|
すべての役員、社員は、「適用法令一覧表」に定めた関連法規を遵守するだけでなく、「顧客要求事項」や 「契約に基づくセキュリティ義務」を考慮しなければなりません。 |
|
| 5. ISMSにおける組織の確立 | |
|
前述3の、3法人の代表取締役と1法人の社員代表は、ISMSを維持するために、リトルスタジオインク(株)代表 取締役を最高責任者とすることに合意し、最高責任者は、情報管理責任者 = CISO (chief information security officer) として、各法人からセキュリティ委員を選任(兼任可)し、セキュリティ委員会を設置します。 CISOは、すべての情報セキュリティ関連の活動を統制し、計画に従って制限と指導を行うものとします。 |
|
| 7. ウイルス、及び他の不正ソフトウェアの予防と検出 | |
|
すべての役員、社員は、情報セキュリティへの望ましくない影響排除のために、“ウイルス”や“他の不正ソフト ウェア”の予防、検出に努めなければなりません。 |
|
| 8. 各種法令、規範、ISMSの諸規程など違反の対応 | |
|
各種法令、規範、ISMS規程などの内容に違反する行為を行った社員は、その程度に応じて就業規則の定めに より、懲戒を受ける場合があります。また、役員の違反行為に関しては、役員会で懲戒を決議します。 |
|
| 9. セキュリティインシデントの報告 | |
|
情報セキュリティに関連する事故が発生した場合や発生を予見した場合は、速やかにCISOに内容を報告し、 CISOとセキュリティ委員は、セキュリティインシデントの原因分析や予見した事故発生の可能性の検討を行い、 適切な対策を講じます。 |
|
| 10. 評価対象となるリスクの基準 | |
|
わたしたちの会社において考慮すべきリスクとは、情報資産の紛失、改ざん、破壊、不正アクセスなどの脅威に より、引き起こされるさまざまなリスクであり、市場関連リスクなど、事業活動で生じる各種のリスクを含みます。 |
|
| 11. 情報セキュリティ管理プロセスと管理策有効性の測定 | |
|
健全な経営をし永続的に持続可能な会社として、わたしたちの会社では、情報セキュリティ管理プロセス、 リスクアセスメント、要求事項に対する管理策、情報セキュリティの監視、見直しなど、定期的にその有効性の 測定を行い、必要に応じて見直しを行います。 |
|
| 12. リスクアセスメント実施と方法論の見直し | |
|
わたしたちは、保有する情報資産すべてに対し、情報セキュリティに与える影響を認識するために、 リスクアセスメントを実施します。リスクアセスメントは、望まれない状態とは何かを考え、それを引き起こす原因と 頻度、関連する情報資産の価値などの要因によって査定します。 このリスクアセスメントの結果に基づいて、適切な対策を講じ、リスクの低減を図ります。 |
|
| 13. 内部監査 | |
|
わたしたちは、ISMS規程の要求事項や管理策などが確実に実行されていることを確認するために内部監査を 実施します。すべての役員、社員は、内部監査の主旨を十分に理解し、不適合が発見された場合は、 CISOの指示に従い、適切な対策を講じます。 |
|
|
|