1.目的
この文書は、株式会社ケイング(以下、弊社)の「情報セキュリティマネジメントシステム(以下、ISMS)」を構築するにあたっての基本的な方針を明らかにしたものである。
2.経営方針としての情報セキュリティ
弊社は、「わたしたちは、コンピュータで医療を支え、よりよい社会づくりに貢献します。」とした、弊社理念に基づき、医療機関向けの
- 医事会計システム
- 電子カルテ、オーダリングシステム
- 看護支援システム
の導入支援サービス及びシステム運用保守サービスを提供している。
誠実なる組織として、倫理観・道徳観そして強い責任感をもって、これらのサービスを継続して提供することが弊社の社会的な使命であり、企業理念実現への道と考える。
弊社が保有する情報資産を保護することを目的とし、ISMSを構築、維持運用する。
ISMS構築に当たり情報セキュリティ基本方針(以下、基本方針)を本文書にて明らかにし、今後本文書を情報セキュリティの拠り所として位置づける。
この基本方針の趣旨は、内部的であるか外部的であるか、故意であるか偶発的であるかを問わないすべての脅威から、弊社が保有する情報資産を保護することにある。
また、プロジェクトの種類にかかわらず,プロジェクトマネジメントにおいては,情報セキュリティに取り組むものとする。尚、この基本方針を弊社のホームページに掲載し、広く周知をはかる。
3.適用規格
弊社のISMSは、 ISO/IEC 27001:2013(JISQ27001:2014) (以下、「規格」)を適用する。
4.情報セキュリティの定義
情報セキュリティとは、機密性・完全性・可用性を保護し維持することを言う。
機密性・完全性・可用性とは次のように定義する。
機密性 :情報が漏れないこと。
(アクセスを認可された者だけが、情報にアクセスできることを確実にすること。)
完全性 :入っているデータが勝手に変更されないこと。
(情報および処理方法が正確であること及び完全であることを保護すること。)
可用性 : ほしい情報が確実に見えるようにすること。
(認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。)
5.情報セキュリティ基本方針
- (1) 顧客情報や社内の重要な情報を適切に保護し、情報セキュリティ事故の発生を防ぐこと。
- (2) 災害発生時も情報セキュリティが保たれるようにすること。
- (3) 情報セキュリティ事故が発生した場合、被害を最小限にとどめ、再発の防止に努めること。
- (4) 災害発生後は出来るだけ早く業務が復旧できるよう対策すること。
- (5) 全従業者(弊社業務にかかわるすべての者)が、情報セキュリティの重要性を理解し、セキュリティ意識を共有すること。
- (6) 全従業者が円滑に業務遂行できるよう、健康も含む人事管理に努めること。
6.従業者の責任と義務
- (1) 情報セキュリティ管理者は、適切な基準及び実施手順に基づき、情報セキュリティマネジメントシステムの実施を促進すること。
- (2) 情報資産の脆弱性及び情報資産をリスクにさらす恐れのある脅威を管理するために、適切なリスクアセスメントを通して情報資産の価値を特定すること。
- (3) ISMSを計画・実施し、改善すべき点を改善することにより、リスクを許容可能な水準に維持すること。
- (4) 弊社と顧客及び協力会社との取引において弊社の完全性を維持するために、この基本方針の定期的運用を実施し、改善余地(脆弱性)のあるものに対し改善し完全性を実証すること。
- (5) 役員、従業員、契約従業員、パート・アルバイター、パートナー(協力会社や外部のコンサルタント含む)など弊社業務に関る全ての者(以下、「全従業者」)に対し、セキュリティの重要性と意識の向上を図ること。
- (6) 弊社情報セキュリティ基本方針を順守するために、定められた機密性・完全性・可用性を保護し維持すること。
- (7) 全従業者は、情報セキュリティに関連する契約条件を遵守すること。
- (8) すべての従業員は、就業規則を遵守すること。
- (9) すべての従業員・協力会社は、ISMSで規定した規則を遵守すること。
7.運用方法
- (1) 基本方針の運用はISMS年間計画に従い運用する。
- (2) 定期的な内部監査をもって基本方針が遵守されているか確認する。
8.罰則
弊社、顧客、パートナー会社の情報資産の保護を危うくする故意の行為を行った場合は、懲戒処分/法的処分の対象となる。
9.関連文書
「ISMSマニュアル」をはじめとする関連文書を参照する。
10.見直し
基本方針は、定期的に見直し、必要性が生じた場合にはその都度レビューを行い、見直しをする。
基本方針の変更が生じた場合、下位(規定及び手順書)の見直しを行い、レビューを行う。
