情報セキュリティ基本方針

オージス総研は、ISMSの認証を取得しています

オージス総研は2003年以来、一般財団法人 日本情報経済社会推進協会(JIPDEC)(現 一般社団法人 情報マネジメントシステム認定センター(ISMS-AC))のISMS(情報セキュリティマネジメントシステム)適合性評価制度の認証を継続しております。
今後も、お客さまのご安心、ご信頼をいただけるよう取り組んでまいります。現在の認証範囲は下記の通りです。

登録組織 プラットフォームサービス本部、事業開発本部及び関連部署(情報システム部、業務部、人事部)
登録範囲 プラットフォームサービス本部及び事業開発本部が実施する下記業務に関する情報セキュリティマネジメント
  1. IT基盤および情報機器のコンサルティング・導入・構築・保守
  2. 情報システム、コンピュータ・ネットワークの運用・保守・管理
  3. データセンターサービス・クラウドサービス・EDIサービスの提供
  4. ITオペレーション運用・サービスデスク・ユーザーサポートの提供
  5. クライアントソリューション・PCリサイクルサービスの提供
  6. デジタルコンテンツに関するサービスの提供
適用規格 JIS Q27001:2014(ISO/IEC 27001:2013)
初回登録日 2003年1月27日
有効期限 2022年8月30日
登録番号 JUSE-IR-003
審査登録機関 一般財団法人 日本科学技術連盟ISO審査登録センター

(2021年10月27日更新)

情報セキュリティ基本方針

1.セキュリティ指針

セキュリティ指針
お客さまの安心と社会からの信用を高めるため、当社の全ての要員は、情報資産の機密性、完全性、可用性を維持する情報セキュリティ活動を実行します。
この活動のため、情報セキュリティマネジメントシステムを構築し、その有効性を継続的に改善します。

2.情報セキュリティの認識と取り組み

当社は、コンサルティング、情報化戦略立案から情報システムの設計・開発、運用・管理までの一貫したトータルソリューション事業及びクラウドサービスの提供を展開しており、これらの事業で取り扱うハードウェア、ソフトウェア、ネットワーク、データ、設計資料等文書などのお客さまおよび社内の情報資産は、当社の経営にとって極めて重要なものと認識しています。また、これらの展開にあたって、クラウドコンピューティングの活用は欠くべからざるものとなっています。
一方、サイバーセキュリティの脅威や、天災、犯罪、事故、過失などの情報資産への脅威による情報資産の漏洩、情報処理サービスの可用性損失などのリスクは、増大しています。

当社は、脅威から情報資産を防護するための適切な安全対策を実施し、情報資産の保護を行うことは、お客さまからの信頼を獲得するのみならずビジネスの発展の視点からも重要な要件であり、社会からの要請でもあると認識し、お客さまおよび社内の情報資産を取り扱う役員、従業員、当社管理下で業務を行う社外要員の全員を対象とした情報セキュリティ基本方針を定め、情報資産の機密性、完全性、可用性を維持する情報マネジメントシステムを構築し、それに従った活動を実行いたします。
また、当社はDaigasグループの一員として、Daigasグループの共通規程を遵守します。

3.具体的活動

(1) 遵守および教育
情報資産を取り扱う役員、社員、当社管理下で業務を行う社外要員の全員に、情報セキュリティ基本方針及び情報セキュリティに関連する法令および契約上の義務を遵守させます。
又、情報資産を取り扱う役員、社員、当社管理下で業務を行う社外要員の全員に、情報セキュリティ基本方針及び情報セキュリティマネジメントシステムに関する教育・訓練を定期的に実施します。

(2) 情報セキュリティの組織体制
全社横断の情報セキュリティ委員会を設置し、情報セキュリティ委員会は、情報セキュリティマネジメントシステムの確立、導入・運用及び維持改善を主導します。
全社の情報セキュリティ責任者を任命し、情報セキュリティ責任者は、全社の情報セキュリティの実施および運用を推進します。
各部門の部門長が、管轄部門での情報セキュリティの実施および運用を推進します。

(3) 情報セキュリティ目標への取り組み
各部門において情報セキュリティの目標を設定し、その達成とレベルアップに全員参加で取り組みます。

(4) 管理策の策定・実施
情報資産に対するリスクの分析・評価を行い、適切な人的、組織的、物理的・環境的、技術的な管理策を策定・実施し、情報資産の安全かつ適正な管理、運用を行うとともに、内部監査や各種レビューにより実施状況を継続的にモニタリングし改善します。

(5) 情報セキュリティ基本方針のレビューおよび公表
情報セキュリティ基本方針は、定期的、又は重大な変化が発生した場合に、引き続き適切、妥当及び有効であるかどうかをレビューします。
また、当社のインターネット・ホームページ等に掲載するなどの手段で、役員、社員、当社管理下で業務を行う社外要員の全員と、外部関係者へ情報セキュリティ基本方針を公表します。

4.クラウドコンピューティングに関する取り組み

クラウドサービスの利用が世の中に広く展開されており、社会の重要なIT基盤となることに鑑み、当社におけるクラウドサービスの安全な提供及び利用にあたっての基本的な方針を以下の通り定めます。

(1) クラウドサービス提供にあたって
・サービスが保持すべき情報セキュリティ要求事項及び当方針に従って、クラウドサービスの設計及び実装を行い、それぞれのクラウドサービス固有の方針については、必要に応じてサービスごとのポリシーを定め、お客さまに周知します。
また、個々のクラウドサービスに関する変更については、サービスごとにあらかじめ定めた連絡方法やホームページ等を通じて周知します。
・クラウドサービスに対して定期的にリスクアセスメントを実施し、特定されたリスクに対して管理策を実施します。
・クラウドサービス上に保管するお客さまの情報資産については、契約等で定めた範囲を除いて当社がアクセスすることはなく、当社はお客さまの情報資産を適切に保護することに努めます。そのために、モニタリング及び定期的な監査を行うとともに、サービスの提供に関わる要員の継続的な教育に努めます。
・提供するクラウドサービスに関する事故・違反について、当社は速やかに契約等で定めた対応を実施するとともに、お客さまのご要望に応じて合理的な範囲で支援を行います。

(2) クラウドサービス利用にあたって
・利用に先立ってリスクアセスメントを実施し、特定されたリスクに対する管理策を実施するとともに、適切な利用ルールを定めてこれを遵守します。
・利用するクラウドサービスが情報資産の保管や業務の実施に活用されること、および当社が提供するクラウドサービスの要素ともなり得ることを鑑み、適切な権限や役割を設定するとともに、その利用状況をモニタリングし情報資産の保護に努めます。
・利用するクラウドサービスの提供者やそのデータ保管場所の所在する国や地域に関するリスクを認識し、適切な範囲でのサービス利用を徹底します。

5.サイバーセキュリティへの取り組み

社会へのITの普及に伴い、ビジネスの発展を脅かすサイバー攻撃は避けられないリスクとなっています。 当社は、サイバーセキュリティリスクを会社経営に関わるリスクであると認識し、その対策に取り組みます。

(1) サイバーセキュリティリスクへの対応指針を明確にし、経営者がリーダーシップを発揮して対策を講じます。
サイバーセキュリティリスクに取り組む組織の設置、社内各組織との連携を含む管理体制を構築し、責任と権限を明確に定めます。

(2) 自社のみならず、ビジネスパートナーや委託先など関連する各組織を含めたセキュリティ対策を講じ、セキュリティチェーンの強化を図ります。

(3) お客さまや社会の安全と安心を高めるため、事故時のみならず平時からセキュリティ対策に関する情報について関係者との適切なコミュニケーションを図ります。

【当社情報セキュリティマネジメントシステムに関するお問い合わせ先】

株式会社オージス総研
情報システム部
QIP・セキュリティチーム
ISMS担当
TEL.06-6584-6323  FAX.06-6584-6497
e-mail:info-ISMS-ogis@ogis-ri.co.jp