One人事
お問い合わせ 無料で資料請求

情報セキュリティー基本方針

当社は、各種脅威から情報資産を守り、かつ社会的使命を果たすために、情報セキュリティに関して以下の取り組みを実施します。

  1. 情報セキュリティに関連して施行される法令や国が定める指針およびその他の規範並びに契約上の情報セキュリティを遵守します。
  2. 情報セキュリティの維持・向上のために規則、体制等を整備し、情報セキュリティマネジメントシステムを構築・運用します。
  3. 情報技術の進歩、社会環境および法令の変化などに対応し、情報セキュリティマネジメントシステムの継続的な見直し・改善を行います。
  4. 情報資産をその重要性とリスクに応じて識別・評価し、適正な情報セキュリティ対策を講じます。
  5. 当社業務に従事するすべての者が本基本方針を含む情報セキュリティマネジメントシステムを理解・共有すべく、教育の実施等周知徹底を図ります。
  6. クラウドサービス設計開発及び提供において、顧客情報を安全に扱いクラウド上のあらゆる脅威から守り、リスク低減を達成するためにマネジメントシステムを確立し構築します。
  7. 組織の情報及びその他の資産に対する情報セキュリティリスクの受容可能なレベルと矛盾しないクラウドサービスを利用します。
  8. 当社のクラウドサービスは、仮想化環境下において、当社の利用規約、サービス仕様等に定める場合を除き、お客様データはお客様ごとに論理的に隔離され提供されます。
  9. 当社の利用規約、サービス仕様書等に定める場合を除き、クラウドサービス運用担当者はお客様の事前許可なくお客様データへアクセスしません。
  10. クラウドサービスへの管理上のアクセス認証は、多要素認証等により強固な認証方式を採用します。
  11. 当社の変更管理手順に則り、お客様に影響のあるサービス内容変更に関しては、お客様に通知を実施します。お客様向けサポートサイトへの掲載も必要に応じて実施します。
  12. お客様の利用者アカウント管理は、クラウドサービスの利用規約及びサービス仕様書等に基づき、お客様の責任において管理・運用していただきます。
  13. 当社の利用規約、サービス仕様書等に定める範囲において、違反の通知、調査及びフォレンジック支援のための情報共有を実施します。
    フォレンジック支援とは、不正アクセス、情報漏えい及び内部統制などに備えて、データのコピー、改ざんなどの痕跡を残したり、故意に削除された情報を復元することでコンピュータ上の不正操作を可視化することで証拠を残す取り組みを言います。
  14. 当社は利用者認証の要求事項を導き出すために、利用者が提示する識別情報に対して求める信頼のレベルを定めます。
  15. アクセス権について当社は業務上の利用者のほか、特権を与えられた利用者及び技術をもつ利用者に対する、提供及び認可のプロセスを定めます。
  16. 当社では秘密保持契約に双方にとって必要な要素を含めるよう努めます。
  17. 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の、定められた役割への割当てに関する記載を含めます。
  18. 当社では例外事項や契約等から逸脱した事象が発生した場合、例外規定として明確に規定や契約書等に定めるとともに、運用を変更する場合には変更管理を徹底します。

制定日 2021年10月1日
改訂日 2023年10月1日
One人事株式会社
代表取締役 唐沢 雄三郎

個別方針

アクセス制御

不正行為、なりすまし、不正アクセスなどを予防するために、ユーザーアカウントを適切に管理いたします。

情報分類

当社のISMS適用範囲で使用する情報資産を適切に管理するため、使用する情報資産を洗出し、その重要度に応じた、管理策を選択し、実施する。管理策を適切に実施するため、対象となる情報資産の責任者を明確にし、重要度に応じたラベリングや取り扱いの許容範囲の設定などを、実施する。情報資産をISMS適用範囲外に持ち出す際の認可プロセスを確立し、実施する。

物理的及び環境的セキュリティー

情報資産を保護するために必要な施設及び情報資産に対する不正アクセスを防止するために、物理的セキュリティレベルを定め、そのレベルに従った入退管理策や、火災、洪水、地震、爆発、暴力行為及びその他の自然災害又は人的被害からの物理的な保護対策を実施する。セキュリティレベルの高い境界内での不正作業や誤作業を防止するための対策を実施する。パソコンやサーバー等の装置及び装置の稼働を維持するために必要な電源、ケーブル等の設備全般に対して、環境上の脅威、災害、不正アクセスなどから保護するための対策を実施する。装置をISMS適用範囲外に持ち出す際の認可プロセスを確立し、実施する。また、持ち出した際の外部での使用におけるリスクを識別し、適切な対策を実施する。装置の処分(廃棄)及び再利用可能な装置等は、その情報資産が不適切に使用されることを防止するため、確実に消去する手順を確立し、実施する。

エンドユーザー関連のトピック

資産利用の許容範囲

情報資産を適切に管理するため、使用する情報資産を洗出し、その重要度に応じた、管理策を選択し、実施する。管理策を適切に実施するため、対象となる情報資産の責任者を明確にし、重要度に応じたラベリングや取り扱いの許容範囲の設定などを、実施する。
また、全ての関係者は、与えられた権限や貸与物が変更・削除又は返却されるように、責任者を明確にし、確実に実施される仕組みを確立し、実施する。

クリアデスク

オフィス業務における情報漏えいを防止するためにクリアデスクを徹底し、パソコンの不正な操作や盗み見を防止するためにクリアスクリーンを徹底します。

モバイル機器

モバイル機器の利用については、社内利用時、持ち出し時、社外利用時等において、管理ルールを確立し運用する。

テレワーク

テレワークにおける業務と、情報資産の取り扱いに係る適切なリスク管理を行います。

ソフトウェアのインストール及び使用制限

不正行為又は誤作業等に起因する情報セキュリティインシデントの発生を未然に防ぐために、対策方針に従って、環境を整備し、規則を策定して、プロセスを実施する。情報システムの実装にあたって、情報セキュリティ要件を満たすことを確実にする。インターネットを介して利用するアプリケーションサービス(電子商取引など)を利用する場合は、そのリスクを認識し、適切な対策を確立し、実施する。

バックアップ

情報の完全性、可用性を保護するために、情報資産のバックアップを管理します。

情報転送

業務上の情報交換では“ひとり一人が責任を持つ”ことを共通のポリシーとし、情報の移動、受け渡し時等における情報資産の取り扱いを管理します。

マルウェアからの保護

コンピュータウイルス・モバイルコードによる被害を予防、または、被害を最小限に食い止めるために、業務に使用するパソコンにウイルス対策ソフトを常駐させ、システム部門が管理します。

暗号による管理

機密情報を持ち出すあるいは送信する場合は情報の機密性、真正性を保護するために暗号化することを徹底し管理ルールに従い運用する。

通信のセキュリティ

あらゆる情報交換(物理的配送、電子メールなど)において、リスクを認識し、適切な対策を確立し、実施する。 認可されていない情報処理活動の検知及び障害時の対策に使用するため、システム使用状況や作業ログ、障害ログなどを適切に取得し、ログに対する不正アクセスからの保護及び適切な期間の保持を実施する。

個人情報保護

別途個人情報保護方針

供給者関係

開発委託先や各種サービス提供者とセキュリティリスクを考慮し秘密保持契約書等の締結を行う。

技術的ぜい弱性の管理方針

利用中の情報システムに関するぜい弱性(セキュリティホール)情報を常に収集、評価してプログラムのパッチを適用します。

利用している情報システム

利用中の情報システムに関するぜい弱性(セキュリティホール)情報を常に収集、評価してプログラムのパッチを適用します。

One人事 > 情報セキュリティー基本方針