イー・カムトゥルーのセキュリティへの取り組み
当社では、セキュリティへの取り組みのベースとして、情報セキュリティ基本方針を宣言しています。当社のセキュリティに関するすべての取り組みは、この方針に則って行っています。例えば、当社が宣言しているプライバシーポリシーも、この情報セキュリティ基本方針の第1項「法令等の遵守」に則ったものです。
また、当社の取り組みは、財団法人 日本情報処理開発協会(JIPDEC)から認証(ISMS)を受けています。
以下に、主要な、より具体的な説明を記述します。
1.体制と責任者
1.1.お客様へのサービスを向上させるためのセキュリティを促進する体制
当社では、以下の体制にてセキュリティの推進と維持を遂行しています。(ISMSマニュアルより抜粋)
- 経営陣・・・社長
基本方針の制定、マネジメントレビュー実施など。 - 情報セキュリティ委員会
ISMS構築、ISMS関連文書策定、運用・監視、継続的な改善。 - 情報セキュリティ管理責任者(委員長と同義)・・CIO
実行責任者、委員会の主催。 - 事務局
推進事務局。 - システム管理責任者
情報システムについての対策、運用の検討。 - 関連部門
関連部門の代表が委員会に参加。業務視点からの検討。 - セキュリティアドバイザー
外部専門家。 - ISMS文書策定チーム
全部門からメンバーを集め、ISMS構築、ISMS関連文書作成の実務を行う。 - 内部監査責任者
独立した立場で内部監査を実施できる内部監査責任者を置く。監査チームとして複数名の内部監査担当者を任命する。(自部門の監査はできない)
1.2.お客様へのサービスに関する事故・障害に対する体制
サービスの事故・障害については「サポートデスク」までご連絡ください。
※商談については営業担当までご連絡ください。
当社では以下の体制にて、事故・障害(災害含む)※ に対応しています。
※事故・障害の例
- システム障害(ソフトウェア/ネットワーク/ハードウェア障害、誤操作、ウイルス感染など)
- 情報漏洩(盗難、流出、不正アクセス、改竄など) 情報消滅(機器や機密書類の紛失、破損など)
- 広域災害(当社拠点全体および地域)
- 局所災害(当社拠点の一部)
2.保守・運用に関するルール
2.1.ベース
ベースとなるルールは「情報セキュリティ基本方針」です。
2.2.セキュリティを維持するためのルール
情報セキュリティ委員会(1.1参照)が内部統制し、随時 詳細管理策(※)、規定、手順に沿っているか監視しています。定期的にも内部監査責任者(1.1 参照)が内部監査をおこない是正を指示しています。また、ISMSに適合しているか、毎年 第三者機関の審査を受けています。
※詳細管理策:保有する情報資産に対するリスク分析の結果から導いた約130項目の管理策
当社では、以下の規定、手順にて保守・運用を行っています。
以下に、お客様に深く係わる規定について抜粋して補足します。
- ISMSマニュアル
情報セキュリティ基本方針を含む、セキュリティを構築、維持するため基本文書です。 - 情報資産管理規定
保護対象となる情報資産(機器や記憶媒体、ノウハウなど)の取扱方法を規定した文書です。 - 委託管理規定
保護対象となる情報資産を取り扱う業務を外部に委託する場合のセキュリティを確保するための規定です。評価基準を定め委託前に評価することなどが定められています。 - 情報システム運用規定
お客様へのサービスの基盤である当社の情報システムおよびネットワークの管理と運用を規定した文書です。サービス基盤のセキュリティを確保する責任の所在なども定められています。 - 情報機器管理規定
お客様へのサービスの基盤に関連する、情報機器(サーバーやネットワークなど)に特化した規定です。機器構成変更の方針や、記憶媒体の管理についてなどが定められています。 - 個人情報取扱規定
プライバシーポリシーを含む、個人情報の取扱についての規定です。社員および当社に常駐する協力会社の社員に対して、個人情報の重要性を理解させ、適正な取扱を確実にするための文書です。