F-COM エフコムグループ

  • ホーム
  • 情報セキュリティへの取り組み

情報セキュリティへの取り組み

1.目的

企業理念「私たちはICT(情報通信技術)の分野で、お客様の真の問題解決パートナーであること及びお客様へ高品質な商品やサービスを提供することを通じて、社会から信頼され、支持される企業となることを目指します」に基づき、当組織は東日本大震災に関する復旧・復興に貢献すると共に、クラウドコンピューティングを核とする強固なソリューション構築を推進いたします。その実践にあたり、付加価値やパフォーマンスに優れたサービスを提供するプロフェッショナル集団として、お客様ニーズの把握や改善活動により恒常的に仕事の質の向上を図ることを目標としています。
また、震災以降、事業継続の観点からバックアップやディザスタリカバリ(災害復旧)への関心が高まってきており、情報資産の安全な管理が従来以上に重要視されてきました。これらの社会的需要に対応するべく、当組織はハイレベルなIDCの設備運営とITアウトソーシング・サービスを通じて、信頼性の高いセキュリティソリューションを供給する使命も有しております。
業務遂行において「ISMS適合性評価制度」の運用及び「金融機関等コンピューターシステムの安全対策基準(設備認証基準)」の適用を推進することで、経営資源の有効活用と情報資産の適正管理のもと、組織目標が健全に維持運営されることを目的とします。

2.情報資産・業務の優先

当組織ではいかなる場合においても、お客様の業務運営と情報資産管理を、最も優先すべき事項とします。

3.推進組織

当組織の情報セキュリティマネジメントを総合的に調整・推進する体制として「ISMS推進委員会」を設置します。

4.情報セキュリティの方針

(1)適用部署

当基本方針の適用部署は次のとおりとします。

会津iDC

  • ・サービスビジネス本部 DCソリューション部
  • ・公共・社会保障ビジネス本部 公共ソリューション部


福島データセンター

  • ・サービスビジネス本部 DCソリューション部

(2)適用範囲

当基本方針の適用範囲は次のとおりとします。

  • a. 受託計算サービスの運用
  • b. ホスティングサービスの運用
  • c. ハウジングサービスの監視
  • d. クラウドサービスの運用

(3)脅威の分類

情報資産における脅威の分類は次のとおりとします。

  • a. 災害による脅威(地震、火災、落雷、停電、洪水、新型流行性疾患等)
  • b. 故障による脅威(装置故障、機能不足、性能不足等)
  • c. 過失による脅威(誤入力、漏洩、誤操作、誤動作等)
  • d. 故意による脅威(不正アクセス、不正コピー、盗難、改竄等)

(4)リスク分析実施方法

組織が保有する情報資産を脅威から守るためにリスク分析表を作成します。この手順として情報資産毎に資産価値(機密性、完全性、可用性)と脆弱性を定めリスク値を設定し、このリスク値からリスク対処方法(許容、回避、移転、低減)を決定します。
このリスク値が一定以上の場合は、リスクを許容できるレベルまで管理対策(具体的な期日を示した取組計画の作成)を講じ、実行します。

(5)教育・研修

組織教育の年間スケジュールを立案し、それに従い教育を実施します。また、組織要員のスキル表を作成し、組織の目標を達成するために研修等に積極的に参加させ要員の力量向上に努めます。又、力量の適切な評価についてその有効性を判断します。

(6)外部委託業者との契約条件

外部委託業者を使用する際は、その企業の有効性を評価するとともに要員の受入れ検査を行います。又、当組織の基準による定期的な監視を実施します。

(7)法令の遵守

当組織は情報資産保護にあたり、関連法令及び業界基準等を遵守します。

(8)評価及び見直し

情報セキュリティ対策の実施状況を踏まえ、その有効性を評価しながら、必要に応じて見直しを行います。これにより、ISMSの適切性、妥当性及び有効性を継続的に改善します。

5.情報セキュリティの体系

情報資産を守るために以下の方針を定め、これを遵守することによりセキュリティを推進します。

(1)情報セキュリティ基本方針

情報セキュリティに関する基本的な方針を定めます。

(2)情報セキュリティ手順書

情報セキュリティ基本方針に基づき、体制及び具体的な手順を定めます。また、情報セキュリティに対する部署の活動目標を設定し、それらを達成するための計画を定めます。

(3)監査

手順に従いセキュリティ活動をおこなった記録を定期的に監査します。

(4)是正・予防

監査結果に指摘事項がある場合は、具体的な原因究明を行い、それの是正・予防活動を実施します。

(5)マネジメントレビュー

経営者が参加するマネジメントレビューを定期的に実施し、監査や是正・予防状況、事件・事故等の報告を行います。それらの報告から経営者は、組織内の情報セキュリティ保護活動における有効性の改善を指示します。この改善は、経営資源を付加した内容である事とします。

6.職員等の責務

情報資産に接する組織の要員及び委託業者は、情報セキュリティの重要性を認識し、情報資産の取扱いに当たっては関連する法令及びセキュリティ基本方針を遵守しなければならないものとします。規程に違反した行為が発覚した場合には、セキュリティ違反罰則規程に則り、就業規則の罰則を適用するものとします。委託業者については契約の条項に従い処分するものとします。

2016年4月1日
株式会社エフコム ISMS担当経営責任者
阿部 義浩