■ISO/IEC 27001 (情報セキュリティマネジメントシステム)

(国際規格:ISO/IEC 27001:2005 ／ JIS規格:JIS Q 27001:2006)

情報セキュリティマネジメントシステム(ISMS)とは、企業活動を行う上で、情報資産(ハードウェア・ソフトウェア・情報(書類及びデータ類)・設備・サービス)の漏洩、改ざん、盗難、破壊を防ぐルールを策定し、正しく管理する仕組みです。

組織が保護すべき情報資産について、機密性・完全性・可用性をバランス良く維持し、改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトです。

　機密性：　アクセスを許可された者だけが、情報にアクセス出来ること
　完全性：　情報及び処理方法が正確及び完全であること
　可用性：　許可された利用者が必要なときに、情報及び関連する資産にアクセス出来ること

【　登録証　】
登録組織名称	株式会社コンピューターシステムハウス
認証基準	JIS Q 27001:2006 ／ ISO/IEC 27001:2005 登録番号 I204
登録範囲	ソフトウェア開発・保守、ソフトウェアパッケージ販売及び情報機器販売業務 (適用宣言書　発行日:2008年12月18日 1.13版)
初回登録日	2008年11月20日　（更新日：2011年11月20日）
有効期限	2014年11月19日
認証機関	日本検査キューエイ株式会社

■情報セキュリティ基本方針

制定：平成20年7月1日

株式会社コンピューターシステムハウスは、経営基本方針にのっとり、優れた技術、商品およびサービスによって、お客様の満足と信頼を得ることを目標とします。このため、お客様の情報、個人情報、財産的情報をはじめとする情報の保護が重要であることを認識し、本方針を策定し、情報資産の保護に取組み、健全なる情報化社会の実現へ向けて尽力してまいります。

1.情報資産の保護

各組織に情報セキュリティの責任体制を敷き、所要の規程の策定と実施により適切な管理に取り組みます。

2.法令等の遵守

事業上及び法令、または規制の要求事項、並びに契約上のセキュリティを遵守するとともに、環境の変化に合わせ、情報セキュリティ確保への継続的な改善・向上に努めます。

3.教育・研修の実施

全社員に対して情報セキュリティについての教育・研修を継続的に実施し、その意識向上と情報セキュリティに関連する諸規程の徹底を図ります。

4.継続的な改善

内部監査及び第三者の審査に基づき、本方針及び関連する規定、管理体制の評価と見直しを定期的に行い、情報セキュリティの継続的改善を図ります。

5.安心できる製品・サービスの提供

利用されるお客様の情報のセキュリティに配慮し、安心してお使いいただける製品・サービスの提供に努めます。万が一、情報セキュリティ上の問題が発生した場合には、その原因を迅速に究明し、その被害を最小限に止めるよう努めます。

以上

株式会社コンピューターシステムハウス
代表取締役社長　薮内利明

■弊社の取り組み状況(運用状況)

弊社では、情報セキュリティマネジメントシステム(ISMS)の取り組み状況(運用状況)について、公開しております。

【　2007年　】

11月	情報セキュリティマネジメントシステム(ISMS)を取得することを会社の方針として決定
12月	長年お付き合いのある先生にコンサルティングをお願いし、ISMS取得に向けての勉強会、適用範囲の検討、情報資産の洗い出しを開始

【　2008年　】

2月	文書(規定類)・様式(記録)の作成を開始
6月	ISMS審査を依頼する審査機関の検討
7月	ISMS審査を「日本検査キューエイ(JICQA)」にお願いすることを決定し、審査申請書を提出、受理 JICQAより、初回審査　第1段階審査計画書が発行
8月	第1回内部監査、教育、事業継続訓練を実施マネジメントレビューを実施
8月22日	JICQAによる初回審査 (第1段階審査) 実施
9月	JICQAより、初回審査　第2段階審査計画書が発行
10月9日 10月10日	JICQAによる初回審査 (第2段階審査) 実施軽微な不適合1件
11月1日	軽微な不適合1件の是正処置、観察事項の対応が完了
11月20日	JIPDECの登録決定会議が行われ、登録が承認
12月15日	第2回内部監査を実施観察事項(改善事項)を含む6件の是正処置
12月18日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
12月22日	内部監査時の是正処置6件の対応が完了

【　2009年　】

1月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月7日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月19日	是正処置(1件)
3月7日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月18日	情報資産台帳の見直しを実施し、3/18完了
3月24日	リスクアセスメント実施し、3/24完了
3月25日	リスク対応計画の策定
3月26日	内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、3/26完了
4月4日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 2/19に発生した是正処置(1件)の対応が完了
4月15日	第3回内部監査を実施観察事項(改善事項)を含む7件の是正処置
4月27日	2009年第1回教育と事業継続訓練を実施
5月1日	内部監査時の是正処置6件の対応が完了
5月2日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月7日	教育確認テストを実施
5月8日	全社員のISMSセルフチェックを実施
5月12日	マネジメントレビューを実施内部監査時の是正処置1件の対応が完了
5月18日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
6月6日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月4日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月27日	観察事項(1件)
8月1日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月10日	内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、8/10完了
8月20日	情報資産台帳の見直し、リスクアセスメント、リスク対応計画の策定を実施し、8/20完了
8月21日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
8月26日	全社員のISMSセルフチェックを実施
9月2日	第4回内部監査を実施観察事項8件(改善・懸案事項)を含む計9件の是正処置
9月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月14日	内部監査時の観察事項3件(改善・懸案事項)、是正処置1件の対応が完了
9月24日	2009年第2回教育と事業継続訓練を実施教育確認テストを実施
9月29日	内部監査時の観察事項5件(改善・懸案事項)の対応が完了
9月30日	マネジメントレビューを実施
10月1日	JICQAによるサーベイランス審査実施軽微な不適合1件
10月3日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月15日	軽微な不適合1件の是正処置が完了
11月7日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月7日	全社員のISMSセルフチェックを実施

【　2010年　】

1月4日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
1月15日	マネジメントレビューを実施
2月5日	情報資産台帳の見直し、リスクアセスメント実施し、2/5完了リスク対応計画の策定
2月6日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月5日	内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、3/5完了
3月6日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月3日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月19日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
4月27日	第5回内部監査を実施観察事項5件(改善・懸案事項)を含む計7件の是正処置
4月22日	観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
5月1日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月10日	観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
5月12日	2010年第1回教育と事業継続訓練を実施教育確認テストを実施
5月18日	観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
5月19日	観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
6月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施内部監査時の観察事項5件(改善・懸案事項)を含む計7件の是正処置の対応が完了
6月14日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
7月1日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
7月3日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月26日	是正処置1件(開発部門)
8月3日	是正処置1件(開発部門)
8月7日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施予防処置1件(セキュリティ事例) 全PCのチェックを実施
8月9日	是正処置1件(開発部門)
8月23日	是正処置1件(開発部門)
9月2日	観察事項1件(他社の事例)
9月21日	観察事項1件(全社)
9月4日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月1日	JICQAによるサーベイランス審査実施軽微な不適合2件
10月2日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月6日	観察事項1件(開発部門)
10月18日	軽微な不適合2件の是正処置が完了
10月18日	第6回内部監査を実施観察事項5件(改善・懸案事項)
10月29日	2010年第2回教育と事業継続訓練を実施
11月4日	予防処置1件(セキュリティ事例) 全PCのチェックを実施
11月6日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
11月25日	教育確認テストを実施内部監査時の観察事項5件(改善・懸案事項)の対応が完了
12月4日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月10日	有効性の評価を実施
12月24日	マネジメントレビューを実施

【　2011年　】

1月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月10日	情報資産台帳の見直し、リスクアセスメント実施し、2/10完了リスク対応計画の策定
3月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月2日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月18日	内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、4/18完了
4月27日	第7回内部監査を実施観察事項2件(改善・懸案事項)を含む計3件の是正処置
5月7日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
6月4日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月2日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月6日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月3日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月5日 9月6日	JICQAによる初回更新審査実施軽微な不適合1件
10月1日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月11日	第8回内部監査を実施軽微な不適合1件、観察事項8件(改善・懸案事項)
10月13日	JIPDECの登録決定会議が行われ、登録更新が承認
10月29日	2011年第2回教育と事業継続訓練を実施
11月5日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月3日	記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施