情報セキュリティへの取組み
目的
弊社は、 グループ理念に掲げる経営理念・経営方針・企業行動憲章・重点事業方針のもと、包摂的な企業の社会的責任を認識し情報化社会の振興に貢献することを目指し事業活動を行っています。
情報セキュリティは、その根幹をなすものです。また、当組織が携わるサービスビジネスの拡充は、中期事業計画の最重要ファクターであり、データセンターを軸とするコア事業として成長戦略の中心に位置づけられています。
そのような方針のもと、当組織は、ハイレベルなデータセンターの運営を構築し、信頼性の高いセキュリティソリューションと運用サービスにより、お客様の満足と信頼の獲得を目指します。
そのために、日々の業務において精査・是正・改善を繰り返すとともに新しい技術の習得を図り、サービスの進化を推進していきます。
以上のような組織目標に基づいて、当該方針は、「ISMS」、「金融機関等コンピューターシステムの安全対策基準(設備認証基準)」、「クラウドサービスセキュリティ」の適用を図り、経営資源の有効活用と情報資産の適正管理をマネジメントすることを目的に定義するものです。
情報資産・業務の優先
当組織ではいかなる場合においても、お客様の業務運営と情報資産管理を、最も優先すべき事項とします。
推進組織
当組織の情報セキュリティマネジメントを総合的に調整・推進する体制として「ISMS推進委員会」を設置します。
情報セキュリティの方針
- 適用部署、適用範囲(ISMS)
a.適用部署
・会津iDC
・サービスビジネス本部 DCサービス部
・サービスビジネス本部 インフラサービス部
・福島データセンター
・サービスビジネス本部 DCサービス部
・サービスビジネス本部 インフラサービス部
b.適用範囲
・受託計算サービスの運用
・ホスティングサービスの運用
・ハウジングサービスの監視
・クラウドサービスの運用 - 適用部署、適用範囲(クラウドサービスセキュリティ)
a.適用部署
・福島データセンター
・サービスビジネス本部 インフラサービス部
b.適用範囲
福島データセンターにおけるクラウドサービスプロバイダとしてのIaaSサービスの提供
・エフコム コミュニティ クラウド
・エフコム プライベート クラウド - 脅威の分類
情報資産における脅威の分類は次のとおりとします。
a. 災害による脅威(地震、火災、落雷、停電、洪水、新型流行性疾患等)
b. 故障による脅威(装置故障、機能不足、性能不足等)
c. 過失による脅威(誤入力、漏洩、誤操作、誤動作等)
d. 故意による脅威(不正アクセス、不正コピー、盗難、改竄等) - リスク分析実施方法
組織が保有する情報資産を脅威から守るためにリスク分析表を作成します。この手順として情報資産毎に資産価値(機密性、完全性、可用性)と脆弱性を定めリスク値を設定し、このリスク値からリスク対処方法(許容、回避、移転、低減)を決定します。
このリスク値が一定以上の場合は、リスクを許容できるレベルまで管理対策(具体的な期日を示した取組計画の作成)を講じ、実行します。 - 教育・研修
組織教育の年間スケジュールを立案し、それに従い教育を実施します。また、組織要員のスキル表を作成し、組織の目標を達成するために研修等に積極的に参加させ要員の力量向上に努めます。又、力量の適切な評価についてその有効性を判断します。 - 外部委託業者との契約条件
外部委託業者を使用する際は、その企業の有効性を評価するとともに要員の受入れ検査を行います。又、当組織の基準による定期的な監視を実施します。 - 法令の遵守
当組織は情報資産保護にあたり、関連法令、業界基準並びに契約上の義務を遵守します。 - 評価及び見直し
情報セキュリティ対策の実施状況を踏まえ、その有効性を評価しながら、必要に応じて見直しを行います。これにより、ISMSの適切性、妥当性及び有効性を継続的に改善します。
情報セキュリティの体系
情報資産を守るために以下の方針を定め、これを遵守することによりセキュリティを推進します。
- 情報セキュリティ基本方針
情報セキュリティに関する基本的な方針を定めます。 - 情報セキュリティ手順書
情報セキュリティ基本方針に基づき、体制及び具体的な手順を定めます。
また、情報セキュリティに対する部署の活動目標を設定し、それらを達成するための計画を定めます。 - 監査
手順に従いセキュリティ活動をおこなった記録を定期的に監査します。 - 是正・予防
監査結果に指摘事項がある場合は、具体的な原因究明を行い、それの是正・予防活動を実施します。 - マネジメントレビュー
経営者が参加するマネジメントレビューを定期的に実施し、監査や是正・予防状況、事件・事故等の報告を行います。
それらの報告から経営者は、組織内の情報セキュリティ保護活動における有効性の改善を指示します。
この改善は、経営資源を付加した内容である事とします。
職員等の責務
情報資産に接する組織の要員及び委託業者は、情報セキュリティの重要性を認識し、情報資産の取扱いに当たっては関連する法令及びセキュリティ基本方針を遵守しなければなりません。
規程に違反した行為が発覚した場合には、セキュリティ違反罰則規程に則り、就業規則の罰則を適用します。
また、委託業者については契約の条項に従い処分するものとします。