情報セキュリティ基本方針

 この情報セキュリティ基本方針は、スパイラル株式会社の情報セキュリティマネジメントシステム(以下、ISMS)の基本的な方針を明らかにするものです。

1.基本声明

当社は、故意であるか偶発的であるかを問わず、すべての脅威から適用範囲内の重要な情報資産を適切に保護し、当社における業務上の目的を達成いたします。

2.コンプライアンス

当社は、情報セキュリティの重要性を認識し、当社が遵守すべき法令、ガイドライン、定款、就業規則等の当社が定める規程、お客様及び外部関係機関等との間で締結した情報セキュリティに関連する契約を遵守いたします。

3.経営者の責任と義務

(1)当社は、情報資産の適切な保護を経営上の重要課題として認識し、必要な経営資源を割り当てます。

(2)当社は、保護すべき情報に対してお客様及び外部関係機関との間で取り決められた契約を理解し遵守するとともに、その内容がお互いの業務の目的にとって不十分である場合には適切な提言を行い、お互いの信頼関係を確固たるものとし、お互いの繁栄を達成するよう努めます。

(3)当社は、CRO(最高リスク管理責任者)を長とする会議体を設置し、横断的にISMSの確立、導入、運用、監視、維持、改善を実行いたします。

(4)当社は、情報セキュリティを推進する専門の組織を設置し、全社的に情報セキュリティに関する活動の強化に努めます。

(5)当社は、全ての従業員及び関係部門に対して本基本方針に基づく適切な基準及び実施手順に従うよう指導いたします。

(6)当社は、情報セキュリティを考慮したIT活用を推進できる人材を育成し、当社及びお客様の情報セキュリティの推進と向上に取り組みます。


4.社員の責任と義務

 (1)当社の全ての社員は、本基本方針を遵守すること及び情報資産を適切に保護することについて、重要性を十分に理解し、実践いたします。

 (2)当社全ての社員及び関係部門は、事故が発生したまたは脅威に対する脆弱性を発見した際には、直接、間接を問わず速やかにCROに報告する責任を負い、ISMSが保護の対象とする情報資産に対してリスクが増大する行為を行いません。


5.リスクアセスメント

当社は、保護すべき情報資産について、機密性、完全性、可用性に対する脅威を想定し、これら脅威に対する脆弱性を評価いたします。当社は、この評価に基づき、各情報資産の機密性、完全性、可用性を保護し、維持するための管理策を策定し、実施いたします。

6.内部監査

当社は、定期的に内部監査を実施し、本基本方針の遵守状況を確認いたします。

7.罰則

当社は、本基本方針に反する行為を行った当社の社員を、懲戒処分、法的処分の対象といたします。

8.マネジメントレビュー

(1)当社は、社会環境の変化または情報セキュリティのリスクの変化に合わせて、情報セキュリティの確保・向上のため、定期的または必要性が生じた場合に、執行役員会において本基本方針の見直しを行います。また、本基本方針の変更が生じた場合、関連する規程、手順書等を見直します。

(2)当社は、本基本方針の見直しが行われた場合には、本基本方針に基づく規程等の妥当性を確認いたします。

9.適用宣言書

当社は、ISO等各種認証の規格要求事項と当社の管理策を記述した文書であるグループ適用宣言書(SOA、Statement Of Applicability)を作成し、維持します。


以上



制定 令和5年6月1日