|
|
情報セキュリティ基本方針 |
株式会社アーク(以下、当社)は、「ソフトウェア受託開発」会社として設立し、
近年は、クラウドサービス(SaaS)の開発・提供・保守・サポートまでの一貫した取り組みを通して、
お客様との信頼関係の維持に努めております。
引き続き、安心してご利用いただくため、情報セキュリティマネジメントシステムの国際規格 ISO/IEC27001(ISMS)、
クラウドセキュリティに関するISO/IEC27017(ISMS-CLS)を含むJIP-ISMS517、
並びに、プライバシー情報マネジメントに関するISO/IEC27701(ISMS-PIMS)
の3規格に適合するマネジメントシステムを構築し、情報セキュリティ及びプライバシー保護の継続的な取り組みを推進します。
この取り組みでは、形式的維持に留めて形骸化させてしまうことのないよう、現場と一体となったマネジメントシステムの実現を目指します。
|
- 1.
- 情報セキュリティ及びプライバシー目的
1)情報セキュリティ及びプライバシー事故を未然に防止し、また、個人情報の取り扱いに関する法例を遵守することにより、企業の社会的責任を遂行し、継続的顧客サービスの実現と顧客満足度の向上に寄与します。
2)万一情報セキュリティ及びプライバシー事故が発生した場合には、その被害の最小化、迅速な復旧、同種事故の再発を防止します。
- 2.
- 情報セキュリティ及びプライバシー保護体制の構築
当社は、戦略的なリスクマネジメントの一環として、情報セキュリティ及びプライバシー情報マネジメントシステムを構築するとともに、その維持・運用ための体制を整え、全社員が一丸となって、組織的な情報セキュリティ及びプライバシー保護に取り組みます。
- 3.
- セキュリティ対策
当社は、適切な人的・組織的・物理的、並びに、技術的セキュリティ対策を講じ、意図しない情報の流出、改ざん、紛失等が発生しないよう努めます。
- 4.
- セキュリティ事故等の対応
当社は、情報セキュリティ及びプライバシーに関する事故や障害の発生防止、ならびに、早期発見に努め、万が一に発生した場合は、迅速な対応と、再発防止策のための適切な処置が講じられる仕組みを整え、維持に努めます。
- 5.
- 法令等の遵守
当社は、遵法精神に則り、プライバシー保護/個人情報保護、及び、情報セキュリティに関連する法令又は規則、並びに、契約上の義務を遵守します。
- 6.
- 見直し及び継続的な改善
当社は、事業を取り巻く社会的変化、技術的変化、法令等の変更に対して適切に対応するため、情報セキュリティ及びプライバシー情報マネジメントシステムを定期的に見直し、継続的な改善を図ります。
策定日:2021年7月11日
改定日:2022年7月15日
株式会社アーク
代表取締役 椎本 正
|
|
|
情報セキュリティに関する認証取得 |
株式会社アークは、情報セキュリティマネジメントシステムについて、第三者機関から下記規格の認証を取得しています。
|
|
1. ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS) |
|
- ・登録内容
-
https://isms.jp/lst/ind/CR_IS237.html
- ・認証基準
- JIS Q 27001:2014(ISO/IEC 27001:2013)
- ・登録番号
- IS237
- ・初回登録日
- 2022年2月25日
- ・登録範囲
- Isideクラウドサービスの開発、運用、保守
ISO/IEC 27001とは、
情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性、完全性、可用性の3つをバランスよく維持し、
改善していく仕組みを構築にすることを目的とする規格です。
- ・
- 機密性 (Confidentiality)
許可された人・モノだけが利用できること
- ・
- 完全性 (Integrity)
情報が正しく、完全であり、また、その状態を維持すること
- ・
- 可用性 (Availability)
必要な人・ものが、必要な時に、必要な情報にアクセスできること
2002年にISMS認証制度が日本で本格的に始動し、2005年にISO27001が発行されました。
その後、個人情報保護法の完全施行され、情報セキュリティ対策が重要な経営課題として取り上げられるようになり、
これを契機にISMS認証制度の普及に拍車がかかっていきました。
|
|
2. ISO/IEC 27017
クラウドセキュリティ(ISMS-CLS) |
|
- ・登録内容
- https://isms.jp/isms-cls/lst/ind/CR_CLS004.html
- ・認証基準
- JIP-ISMS517-1.0
- ・登録番号
- CLS004
- ・初回登録日
- 2022年2月25日
- ・登録範囲
- ・Isideクラウドサービス提供に係るクラウドサービスプロバイダとしての開発、運用、保守
・クラウドサービスカスタマとしてのIsideクラウドサービスの提供基盤となるIaaS及び開発環境の利用
ISO/IEC 27017とは、
クラウドサービスの提供や利用に対して適用される情報セキュリティ管理策のガイドライン国際規格です。
ISO/IEC 27001認証を補完する「アドオン認証」として位置づけられています。
ISO/IEC 27017を取得することで、クラウドサービスに対応した情報セキュリティ管理体制を構築することができ、
クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。
JIP-ISMS517-1.0とは、
認証制度として ISO/IEC 27017 を運用するために、国内で規格化された要求事項です。
一般財団法人 日本情報経済社会推進協会(JIPDEC)が
「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項」という名称で定められています。
|
|
3. ISO/IEC 27701
プライバシー情報マネジメントシステム(ISMS-PIMS) |
|
- ・登録内容
- https://isms.jp/isms-pims/lst/ind/CR_ISP007.html
- ・認証基準
- ISO/IEC 27701:2019
- ・登録番号
- ISP007
- ・初回登録日
- 2022年2月25日
- ・登録範囲
- 【PII管理者として】
・Isideクラウドサービスにおけるアカウント管理
・社員の個人情報の管理
【PII処理者として】
・Isideクラウドサービスに登録された顧客情報の処理
ISO/IEC 27701とは、
2019年に発行された国際規格で、ISO/IEC 27001およびISO/IEC 27002に
「プライバシー保護」をアドオン(拡張)した規格として位置づけられており、
ISMSの要求事項に加え、個人情報(PII)の適切な利用と保護を確実にすることを目的とする
要求事項とガイドラインが規定されています。
ISO/IEC 27701規格を取得するクラウドサービス事業者は、
サービスを提供する法域の個人情報の取り扱い(プライバシー保護)に関する
法令、規則、ガイドライン等に対応した管理体制の構築を求められます。
法域が日本国の場合は「個人情報保護法」への対応が要求され、
多くの部分で「Pマーク (JIS Q 15001)」の要求事項と重なっています。
|