情報セキュリティ基本方針
情報セキュリティ基本方針
1.目的
本情報セキュリティ基本方針(以下、「本基本方針」)は、当社グループが会計事務所とその関与先企業、地方公共団体を対象として、常に最新の情報通信技術(ICT)の最適な活用を通して、各種情報サービスを提供していることに鑑み、情報の適切な管理を実現し、お客様に安心して当社のサービスをご利用いただくために、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を踏まえ、当社グループにおける情報セキュリティを確保するための対策、体制等の基本事項を定めたものです。
2.基本原則
- 当社グループは、情報セキュリティの確保が経営上の最重要課題であると認識し、全社を挙げてこれに取り組みます。
- 当社グループは、役員及びすべての社員が、倫理観を保持し、法令、行政機関、お客様及び取引先等と締結した契約、その他が定めた規範及び社内規定を遵守する体制を整備し、これを継続的に改善します。
- 当社グループは、情報セキュリティを脅かす事象を発見した場合には、原因分析を徹底して行い、再発防止策を検討しこれを実行します。
3.情報セキュリティの定義
- 情報セキュリティとは、当社が扱う情報資産を「機密性」、「完全性」、「可用性」に関する現在及び予想される脅威から保護することをいい、サイバーセキュリティを含むものとします。
- サイバーセキュリティとは、情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置と情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置を講じ、その状態が適切に維持管理されていることをいいます。
4.情報セキュリティ体制
当社グループは、情報セキュリティを脅かす様々な要因を事業遂行上のリスクとして認識し、以下の内容の情報セキュリティ体制を整備します。
- 株式会社TKCの代表取締役社長の諮問機関である「リスク管理委員会」が当該リスクのマネジメントを統括するものとします。「リスク管理委員会」は部門担当取締役と執行役員で構成しています。
- 「リスク管理委員会」は、専門的見地から当社グループの情報セキュリティ対策に関する戦略全体の検討を行う「情報セキュリティ小委員会」を下部組織として設置しています。
- 取締役会は、最高情報セキュリティ責任者(CISO: Chief Information Security Officer)を任命し、当社グループにおける情報セキュリティ対策の実行に関し責任と権限を付与するものとし、CISO は、職務の執行状況を取締役会に定期的に報告します。
- CISOの下に「情報セキュリティ戦略室」を配置し、当社グループにおける情報セキュリティ対策の実行を担い、その職務の執行状況をCISO及び、「情報セキュリティ小委員会」に定期的に報告します。
5.情報セキュリティ対策
- 情報セキュリティ対策フレームワークの構築
- 当社グループは、グループ内において守るべき資産を特定し、その所在や内容を把握するとともに、ネットワークの構成などを踏まえ、情報セキュリティリスクが事業にいかなる影響があるかを分析し、リスクに応じた対策の実施計画を策定します。
- 計画が確実に実施され、その実行を評価、及び継続的に改善するためのプロセス(PDCA)を整備します。
- 関連規定の整備および法令等の順守
- 当社グループは、情報セキュリティ対策を適切に実施するための関連社内規定を整備し、役員及びすべての社員に周知徹底させます。かつ、情報セキュリティに関連する法令または社内規定の違反に対して、厳しく対処します。
- 情報セキュリティへの取り組みに関して、ステークホルダーからの信頼性を高めるべく適切に開示します。
- グループのセキュリティ対策
- リソースの確保
- 当社グループは、情報セキュリティ対策の着実な実施に備え、必要な経営資源を確保・投入します。
- 当社グループは、情報セキュリティ対策を実施する上で必要な人材の育成と確保を計画的、継続的に行います。
- 当社グループは、外部の情報共有活動に参加し、当社グループへの情報セキュリティ対策に反映します。
- ITシステムの管理
- 情報セキュリティ監査
- 教育・訓練
- 当社グループは、情報セキュリティの重要な課題はヒューマンエラーへの対策であると捉え、役社員ひとり一人の意識向上を目的として定期的な教育を実施します。
- 当社グループは、特に重要と考える情報セキュリティ対策について、毎月、すべての役社員がチェックリストに基づく確認を実施します。
- 情報セキュリティインシデント対応
- 情報セキュリティインシデントに対応するために、CISOの指揮の下、専門チーム(CERT: Computer Emergency Response Team / CSIRT: Computer Security Incident Response Team 等)を組織します。
- 初動対応マニュアルを整備し、関係者に周知徹底させるとともに、定期的かつ実践的な訓練を行います。
- CISOは、重大な情報セキュリティインシデントが発生した場合には、「リスク管理委員会」に報告するものとします。
- 「リスク管理委員会」は、前項の報告があった場合、当該情報セキュリティインシデントの対応方針を決定するとともに、再発防止を指示し、必要に応じて取締役会に報告するものとします。
- 情報セキュリティインシデントに関して、官公庁への届けや関係者への通知を、状況に応じて適切に行います。
6.基本方針の改廃
本基本方針の改廃は「リスク管理委員会」にて検討し、取締役会審議に基づき決定するものとします。
以上
第三者評価・認証の状況
1.ISMS認証
情報セキュリティマネジメントシステム(ISMS)認証
(JIS Q 27001:2014(ISO/IEC27001:2013))
(JIS Q 27001:2014(ISO/IEC27001:2013))
- 株式会社TKC
- 統合情報センター
- 北海道統合情報センター
- 東北統合情報センター
- 栃木統合情報センター
- 東京統合情報センター
- 中部統合情報センター
- 関西統合情報センター
- 九州統合情報センター
- 自治体DX推進本部 システム運用部
- TKCインターネット・サービスセンター
- 株式会社TLP
- 株式会社スカイコム
2.ISMSクラウドセキュリティ認証
2-1.クラウドサービスのための情報セキュリティ管理策の実践規範
(ISO/IEC 27017)
2-2.クラウドサービスのための個人情報保護の実施基準
(ISO/IEC 27018)
(ISO/IEC 27017)
2-2.クラウドサービスのための個人情報保護の実施基準
(ISO/IEC 27018)
- 株式会社TKC
- TKCインターネット・サービスセンター
3.プライバシーマーク
以上