Security policy情報セキュリティ方針

当社は、教育事業及び人材サービス事業を行うにあたり、お客様やお取引先様からお預かりした情報資産、および当社の情報資産をあらゆる脅威から守ることを責務として、次の通り情報セキュリティ方針を定め、徹底を図ってまいります。

1. 情報セキュリティの取り組み

情報セキュリティの管理体制を確立し、これを確実に実施するための規程および規則を定め、情報セキュリティマネジメントシステムを効果的に運用します。

2. 法令・規範の順守

情報セキュリティに関する法令およびその他の規範、並びに契約上のセキュリティ要求事項を順守します。

3. 情報資産の保護

当社が保有する情報資産をあらゆる脅威から保護し、機密性、完全性、可用性を保持するための対策を講じます。

4. 事故への対応

情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、原因の究明、並びにその対策を速やかに実施し、再発防止を含めて適切に対処します。

5. 教育・訓練の実施

全ての役員および従業員に対して、情報セキュリティの重要性を認識させるべく、必要な教育・訓練を実施します。

6. 継続的改善の実施

本方針が順守されていることを定期的に確認し、その有効性を維持するために継続的な見直しと改善に努めます。

制定日:2023年8月28日
株式会社さくらコミュニティサービス
代表取締役 中元 秀昭

①情報セキュリティの定義

当社が保有する情報資産に対して、機密性・完全性・可用性を維持すること。

• 機密性:漏らしては困ること。つまり、アクセスが認可された者だけが、情報にアクセスできることを確実にする。
• 完全性:壊れては困ること。つまり、情報および処理方法が正確であること、かつ完全であることを保護する。
• 可用性:使えないと困ること。つまり、認可された利用者が、必要な時に情報および関連する資産にアクセスできることを確実にする。

②情報セキュリティ目的

当社の情報セキュリティ目的を次の通り定める。

「ISMSが適切に、かつ、有効的に取り組まれ、当社が保有する情報資産に対して、いかなる脅威からも適切に保護されていること。」

③情報セキュリティ目標

当社の情報セキュリティ目標を次の通り定める。

「監査における指摘事項、情報漏洩等の事件及び事故、お客様からの苦情・クレーム等 による不適合の件数を年間3件以内に収める。」

④情報セキュリティ個別方針

• 情報分類方針
  当社が保有する情報資産を三段階で分類し、その情報資産の資産評価から脅威及びぜい弱性に対するリスク評価、並びに対策を計画・実施・見直しをする。
• アクセス制御方針
  情報および情報処理設備に対して、その利用権限を与えられた利用者が、適切に資源の利用をできるようにすることと、又は権限が与えられてない者が利用できないことを確実にするための手順を定め、実施する。
• バックアップ方針
  情報、ソフトウェア及びシステム開発データのバックアップは、クラウドサービスにおいて行われることを確実にし、定期的にチェックする。
• ネットワーク環境方針
  ネットワークにおける社内外からの脅威に対抗するためのセキュリティ対策を定め、実施・見直しを行う。