HOME 企業情報 企業概要 ISO27001(ISMS)認証取得

ISO27001(ISMS) 認証取得

情報セキュリティの国際規格、ISO27001の認証を取得
情報セキュリティの確保は、企業の社会的責任であると共に、社会的要請でもあります。 ミクロスソフトウエアは、情報セキュリティマネジメントシステムの導入から、事業活動と情報セキュリティ確保・管理の遂行を同時に行うべく、認証を取得しました。
当社は、「情報セキュリティ基本方針」と「情報セキュリティ個別方針」で構成される「情報セキュリティ方針群」を策定しています。

情報セキュリティ基本方針

今日、コンピュータを利用したデジタルネットワーク社会の発展に伴い、情報セキュリティの確保に関しては、従来にも増して重要となりつつあります。
当社では、お客様からお預かりする大切な情報や、自社の情報などを数多く取り扱うことから、保有する情報資産の改ざん、漏洩、流出にできる限りの注意を払ってまいります。

当社では、情報と情報を管理する仕組みを重要な情報資産と位置付け、厳正に管理するため、情報セキュリティポリシーを定め、情報セキュリティの確保にあたります。全ての役員及び従業員がこれを遵守します。また、本方針の適用範囲外の組織において情報資産が取扱われる場合には、情報セキュリティの重要性の認識と、管理運用における協力を要請します。
  • (1)当社は、情報資産を明文化し、情報の機密性、完全性、可用性の観点から評価し、最適な情報セキュリティ管理策を講じます。
  • (2)当社は、情報セキュリティ対策を実施するための組織を整えます。また、定期的に内部監査とマネジメントレビューを行い、継続的改善を行います。
  • (3)当社は、適切な情報セキュリティ管理策を講じるため、内部規定を整備します。適切な期間、時期に見直しをかけ、継続的改善を行います。
  • (4)当社は、教育活動を通じて、役員及び全ての従業員が、情報セキュリティの重要性と対策を周知徹底するとともに、情報セキュリティ管理システムを維持向上させます。
  • (5)当社は、万一情報資産等にセキュリティ上の問題が発生した場合に、あるいはその恐れを発見した場合には、速やかに対応し、その被害を最小限に止めるよう努めます。また、再発防止に努めます。
  • (6)当社は、情報セキュリティに関する各種コンプライアンスに則り、法令、規制およびガイドライン等を遵守します。
  • (7)当社は、情報セキュリティ活動を継続的に改善・実施し、かつ新たな脅威にも対応できるよう、情報セキュリティ管理システムを確立します。
  • (8)当社は、情報セキュリティに関する違反に対して厳正な処分を行う。

情報セキュリティ個別方針

■人的資源のセキュリティ

・すべての従業員及び、関係する場合には契約相手に対して、ISMSマニュアルに規定する自覚教育、手順書教育を実施します。

■資産の管理

・適用範囲内における情報及び情報処理施設に関する資産は、情報資産台帳において特定します。
・資産を持ち運ぶ場合、資産の入った電子機器、記録媒体、書類等は肌身離さず所持します。
・電子媒体を保管する場合、資産の分類に従い、極秘および社外秘のものは保管場所を定めて保管します。
・電子媒体を廃棄する場合、情報の消去、媒体の物理的破壊等、必要な対策を行います。
・紙媒体を廃棄する場合、極秘および社外秘のものは、シュレッダーにかける、廃棄処理業者に委託するなど、必要な対策を行います。

■アクセス制御

・セキュリティが保たれていることを確実にし、利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを、利用者に提供することを確実に行います。
・定期的にアカウントリストの見直しを行い、適切であるか、抹消漏れがないかを確認します。
・プロジェクト毎に、プログラムソースコードへのアクセス管理を行い、セキュリティが保たれた環境で保持します。

■暗号

・暗号鍵は、暗号鍵の生成、保管、保存、読出し、配布、使用停止及び破壊を含むライフサイクル全体にわたって管理します。

■物理的及び環境的セキュリティ

・オフィスへの出入りは、社員証を携帯した当社役員、従業員、来館証を貸与された来館者、および当社社員の同伴による案内がある者のみに限定します。
・事務所の出入りについて、平日夜間及び休日にWebカメラでの監視を行います。
・重要な装置は許可されていない者による悪用や、誤用、または火災を防止できる環境に設置します。
・パソコン等の装置、機密情報、又は管理を要するソフトウェアは、事前承認なしに社外へ持ち出しません。
・クリアデスク・クリアスクリーン方針に従います。

■運用のセキュリティ

・当社内で使用する情報システムにはアンチウィルスソフトを導入し、悪質なソフトウェアからの防護対策を行います。
・顧客や協力会社等、外部から持ち込まれる端末は原則として、当社の情報システムへの接続を認めません。

■通信のセキュリティ

・不正アクセスを発見するため、アクセス履歴を保管します。
・無線LANを利用できる端末について、MACアドレスフィルタリングを行い、許可された機器以外の接続を制限します。
・無線LAN通信について適切な暗号化を実施し、運用します。
・外部組織から機密情報を預かった場合は預り証を発行し、情報名、当社の責任者、利用期限、返却/廃棄方法を明示します。
・電子メールを使用して機密性を要する情報を送受信する場合は、暗号化、電子署名などの処置を施します。
・外部にファイルを添付して電子メールを送信する際には、システム上でウィルスチェックを実施してから送信します。

■システムの取得、開発及び保守

・情報システムの取得、開発及び保守管理のプロセスにおいて、不正行為又は誤作業等に起因する情報セキュリティインシデントの発生を未然に防ぐため、対策方針に従って、環境を整備し、規程を作成して、プロセスを実施します。

■供給者関係

・業務を外部委託する場合及び第三者が提供するサービスを利用する場合に、供給者に求める情報セキュリティ要求事項を特定し、事前に供給者と合意します。
・合意内容の監視及びレビューを適宜実施し、必要に応じて合意内容を見直します。

■情報セキュリティインシデントの管理

・システムやサービス上のセキュリティの弱点や脅威に気づいた場合、もしくは疑いをもった場合は速やかに対応を行います。

■事業継続マネジメントにおける情報セキュリティの側面

・リスク分析・評価結果、マネジメントレビューの結果、情報セキュリティ委員会の議事内容、セキュリティインシデントなどの情報を基に、情報システムの重大な故障又は災害の影響から保護すべき事業活動及び重要な業務プロセスの有無を判断します。
・適切な時間内で維持または復旧させるための事業継続計画を策定します。

■順守

・順守すべき法規制等に関して、新たに対応が必要となる法規制等の有無や、既に特定された法規制等の改正の有無の状況等を把握するため、適宜見直しを行います。

2007年10月19日制定
2017年08月24日改訂
株式会社ミクロスソフトウエア
代表取締役 田中聰

適合規格
ISO27001
登録証番号
JQA-IM0584
本社取得
2008年8月1日登録
【所在地】
神奈川県川崎市高津区坂戸3-2-1KSP西棟6F
北海道支社取得
2008年8月1日登録
【所在地】
北海道札幌市厚別区厚別中央2条5丁目4-18太陽生命新札幌ビル6F
大阪支社取得
2013年7月19日登録
【所在地】
大阪府吹田市江の木町17-1コンパーノビル6F