ISMS

有限会社アップ・トゥ・カンパニー(以下「当社」という)は、お客様及びお客様の利害関係者の情報を取り扱う企業として、
情報セキュリティの重要性を十分に認識し、関連法令を遵守するとともに、情報資産を適切に保護するための取り組みを行います。
その一環として、当社は、情報セキュリティマネジメントシステム(以下、「ISMS」という)を確立します。
また、当社は、ISMSを継続して維持するために、経営環境の変化等に応じてISMSを改善します。
【連絡先】
有限会社アップ・トゥ・カンパニー
〒604-0981
京都市中京区御幸町竹屋町上ル毘沙門町533番地
TEL:075-222-2688 FAX:075-222-1878
1.目的
当社は、取り扱う全ての情報資産に対しての不正アクセス、紛失、破壊、改ざん、漏洩等を防止することを目的として、
ISMSに準拠した業務を遂行します。
当社は、上記の目的を果たすため、基本的な対策に加えて個別契約毎に最適な予防策を講じ、
情報資産の機密性、完全性、可用性を確保します。
当社は、社会的責任として上記の目的を継続的に果たすことにより、利害関係者との信頼関係を構築します。
2.適用範囲
当社に存在する全ての部署及び当社における全ての業務や作業をISMSの適用範囲とします。
3.遂行体制と責任
当社は、関連する法令やルールとの整合性を取り、柔軟かつ合理的にISMSを推進するために、
情報保護管理責任者と情報保護担当者を配置します。
情報保護管理責任者及び情報保護担当者は、ISMSの確立、導入及び運用を行い、
ISMSを継続的に維持・改善するために必要な経営資源を提供します。
当社の経営者は、『ISMS基本方針』に基づく情報セキュリティ規程、手順書及びセキュリティ要求事項を承認し、
当社の経営水準に照合して、機密性を重視したリスクアセスメント方法を選択し、受容基準や受容可能レベルを決定します。
4.情報資産の特定及び分類
当社では、情報保護管理責任者及び情報保護担当者が、経営者との協議の上、適用範囲に含まれる情報資産を特定します。
情報保護管理責任者及び情報保護担当者は、特定した情報資産に想定される脅威や脆弱性を抽出・分類し、
発生しうる情報セキュリティに関するリスクの可能性についてリスクアセスメントを行います。
5.目標管理
当社は、ISMSの運用を継続するための具体的な目標を掲げ、その目標に沿った運用が実施されていることを定期的に調査・分析します。
当社は、分析結果を基に、年度毎に新しい目標を検討します。
この一連の流れを、目標のフィードバック手法と位置づけ、実質的に管理します。
6.法令の遵守
当社では、事業活動を推進するにあたり、コンプライアンスを経営上の最重要事項の一つと位置づけ、
全ての関連法令及び全ての社内ルールを遵守します。
関連法令の改廃及び社内ルールの変更、経営環境の変化に応じて、情報保護管理策を改訂することにより、
整合性の欠如や旧式化による矛盾を排除し、健全な情報保護を心掛けます。
7.個人情報保護
当社では、個人情報保護法に準拠して、個人情報の利用目的を特定し、公表または通知します。
取得した個人情報の利用及び第三者への提供については、上記利用目的に則して実施します。
8.社会的責任
当社は、社内においてISMSの周知の徹底及び情報保護に対する意識の向上を図り、
情報保護に取り組む組織として付加価値の高いサービスを社会に提供します。
9.監査
当社はISMSの適用範囲において、関連法令の遵守、リスク対策、目標管理などが適正に実施されていること、
及びISMSが適正に運用され、期待通りの効果が生じていることを確認するため、定期的に内部監査を実施します。
情報保護管理責任者は、監査結果と、ISMS運用状況の調査結果及び分析結果を基に作成した改善策案を経営者に報告します。
10.レビュー
当社の経営者は、監査結果及び改善策案を基にISMSの有効性・妥当性を評価し、
経営環境の変化などにより適合しなくなった管理策の有効性・妥当性を改善します。
さらに、改善したISMSの有効性・妥当性評価が適正に行われるように評価手法自体も改善します。
11.役員、従業員の義務及び処分
当社の役員、従業員には、業務を遂行する際に『ISMS基本方針』に準拠して適切に情報資産を取り扱う義務があります。
役員及び従業員が情報保護関連文書に定めるルールに違反した場合、
当社の該当規則および該当契約に基づき懲戒処分・法的処分・その他しかるべき処分を適用します。
12.教育
情報管理責任者は従業員に対し、ISMSを含めた情報管理全般に関する知識の向上を目的として、
IT及び情報マネジメントに関する教育を実施しなければなりません。
13.事業継続管理
当社は、あらゆる天変地異や人的災害などに対して冷静沈着かつ迅速に対応し、被害の範囲を極力小さく留めるために、
あらかじめ「消防計画」を作成して緊急事態に備えます。
緊急事態が発生した場合、経営者は、経営責任及び義務として、第一に人命を尊重して行動し、
その上でISMSによる情報資源の維持に努め、可能な限り事業の継続に努めます。
14.事故対策及び予防処置
当社は、情報セキュリティ上のインシデントが発生した場合は、原因究明、対策を迅速に実施し、
影響が最小限になるように努めます。
また情報セキュリティ事故を意図的又は重大な過失により引き起こしたものは、厳重に処罰すると共に、
予防並びに再発防止策を含む適切な対策を講じます。