情報セキュリティ基本方針  

「ISO27001」情報セキュリティマネジメントシステム(ISMS)
 
 
エスエーエス株式会社(以下「当社」という)は、お客様の信頼を受け、業務委託によるシステム開発及び社員の派遣及びパッケージソフトの販売とサポートを行なっています。今後、継続して信頼を維持しブランドを築づきお客様の要望に応えていくことが重要です。その為に情報セキュリティ上の脅威から情報資産を保護し、情報資産を正確かつ安全に取り扱う責務があります。
当社がお客様の信頼に応えて信頼されるサービスを提供する目的に於いて、ここに基本方針を定め、当社の取り扱う情報資産の適切な保護対策を実施する為の指針とします。この指針に従って情報マネジメントシステムを確立し、導入、運用、監視、見直し、維持及び改善を行ないます。全ての従業員が「情報セキュリティ基本方針」を理解し、確立した情報マネジメントシステムによる規定と手順を遵守し業務を遂行します。

 
1.情報セキュリティの組織目的と維持お客様から提供された資産の消失、盗難、不正使用、漏洩を防止すること及び社内に於けるシステム開発環境の維持を組織の目的とする。情報セキュリティとして、お客様から提供された資産及び当社が取得した個人情報、及び当社が保有する資産について、機密性、完全性、可用性を確保し、維持する。
2.適用範囲本基本方針は、当社が事業活動で取り扱う情報資産、及び全ての従業員に適用する。
(1)組織 エスエーエス株式会社 全組織
(2)所在地 東京都豊島区南池袋2-29-16 ルボワ平喜702
(3)適用対象者 当社で業務に従事する全ての役員、社員等、派遣契約社員、委任契約社員、請負契約社員に適用する。
(4)情報資産 当社における全ての情報及び使用する情報システムとする
(5)技術 当社で開発し販売しているパッケージ等システム
・銀行向け外為照合システム(FinacialReconcileSystem)
・医学界用学会会員管理システム及び一般学会用会員管理システム
・通販事務システム   
(6)適用範囲の境界 ・物理的境界   別紙1レイアウト図に物理的境界を示す。
・システム境界   別紙2ネットワーク構成図にシステム境界を示す。
3.経営者の責任経営者は、情報セキュリティ管理責任者を任命し、情報セキュリティ管理責任者が必要とする情報セキュリティマネジメントシステムの経営資源を提供する。 経営者は、情報セキュリティマネジメントが適正に運用しているかを客観評価する内部監査員を任命する。
4.管理者の義務情報セキュリティ管理責任者は、情報セキュリティマネジメントシステムを確立し、導入、運用、監視、見直し、維持及び改善を図るための活動を推進する。
5.資産の特定とリスクアセスメント及び管理策の選択情報セキュリティ管理責任者は、事業上取扱う情報資産を「機密性」、「安全性」、「可用性」の視点から重要情報資産を特定し、リスクアセスメントを行い合理的で適切な管理策を選択し、また、環境変化に応じて重要情報資産の見直しをする。
6.個人情報保護個人情報を保護するための管理策を実施し、法律や省庁の指針及び規範に則り、取得、利用・提供を行う。個人情報は原則非公開とし、開示が必要となった場合は、個人情報の利用目的の特定し個人情報保護の確認の基に開示行う。
7.法令の遵守当社の業務推進上で情報セキュリティに適用される法令・規則、その他のガイドラインを明確にし、遵守する。
8.従業者の義務当社の全ての従業者は、本基本方針、及び情報セキュリティマネジメントシステムに関する社内規定・手順書を遵守して行動する。違反した場合には、当社の就業規則等に則り懲戒処分を適用する。
9.教育当社の全ての従業員に対し、職務に応じて必要な情報セキュリティに関する教育及び訓練を実施する。


 セキュリティの取り組み

「ISO27001」情報セキュリティマネジメントシステム(ISMS)
 
 
セキュリティについて
銀行や警察で情報漏洩したということは聞きません。銀行事務センターではインターネットにつなげていません。 繋がなければ感染の脅威が無くなりセキュリティ対応コストも安くできるかも知れません。(インターネット接続パソコンは別回線にしています。) ほとんどの一般企業ではインターネット接続しますので、外部からの侵入を防ぐことが基本になります。
セキュリティ対策は部屋で言うと、知らない人が勝手に入ってこないようにし、中から部屋に通すときに持ち込みをチェックし、他人が勝手に部屋から持ち出すことを禁止する。これをシステムで行うことです。環境により対策方法とそのコストに大きな違いがあります。家庭でパソコンを使用する場合、企業でサーバーを持つ場合、企業でWEBサーバーを公開する場合で違いがあります。弊社は企業でサーバーを持つ場合になります。
1)WEBサーバー公開・・WEBサーバーは公開が目的で、企業内限定業務にWEBサーバーを公開することはいいのかコメントしません。WEB環境では入り口が開いています。ルータでアタックやISPによるセキュリティ対応が必須です。弊社はWEBはプロバイダーに業務は社内にと分離しています。
2)企業内DB等のサーバー・・ルータで許可がない相手が入れなくします(グローバルIP制限など、対応しないと相手からWindowsにログインしようとアタックやウィルス侵入の試みを受けます)。つまり、リモート接続で入り口を開ける場合は相手を限定します。ルータを超えて侵入した場合に備えて必要箇所にパスワードを設定します。

下記にSASのセキュリティ対策の一部の例を列記

1.WEBサーバー社内にWEBサーバーを持たない。外部のISPを使用する。
2.社内パソコン使用本基本方針は、当社が事業活動で取り扱う情報資産、及び全ての従業員に適用する。
(1)Windowsログイン パスワードによるログインを行う。誤って部屋に侵入があった場合の対応。未使用時に画面がのぞけないようにする。
(2)メール制限 WEBメールソフトの使用を禁止する。必ず、会社のOutLookを経由する。徹底させる為、共通使用のメール専用パソコンを設置する。
(3)ウィルス対応ソフト 全てパソコンにインストールする。
(4)ウィルス感染及びパソコン異常時対応 各社員の保存したいデータを日次で共有情報のサーバーに保存する、かつ、USB経由で外部Diskに原本保存する(2週間に1回)。
(5)USB使用制限 USB使用は社内に限定する。(外部に持ち出す場合は機密内容は暗号化する。)
(6)その他 ・部屋のレイアウトやロッカーなど対応があります。
3.ルータの制限グローバルIP制限、ポート制限(DMZではなく)を設定しました。
4.DBサーバーユーザーおよびパスワードによる接続する。データ保全の為のDBデータのバックアップを2日間隔で行う。サポート用で使用頻度の少ないサーバーは電源OFFにしておく。

平成29年2月1日 現在
●お問い合せ先  〒171-0022 東京都豊島区南池袋2-29-16-702
エスエーエス 株式会社   TEL(03)3982-9100 FAX(03)3982-7319 E-Mail:asas@asas.co.jp