▼ISO/IEC 27001 (情報セキュリティマネジメントシステム)
▼情報セキュリティ基本方針
▼弊社の取り組み状況(運用状況) (2007年 2008年 2009年 2010年)
▼情報セキュリティ基本方針
▼弊社の取り組み状況(運用状況) (2007年 2008年 2009年 2010年)
■ISO/IEC 27001 (情報セキュリティマネジメントシステム)
(国際規格:ISO/IEC 27001:2005 / JIS規格:JIS Q 27001:2006)
情報セキュリティマネジメントシステム(ISMS)とは、企業活動を行う上で、情報資産(ハードウェア・ソフトウェア・情報(書類及びデータ類)・設備・サービス)の漏洩、改ざん、盗難、破壊を防ぐルールを策定し、正しく管理する仕組みです。
組織が保護すべき情報資産について、機密性・完全性・可用性をバランス良く維持し、改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトです。
機密性: アクセスを許可された者だけが、情報にアクセス出来ること
完全性: 情報及び処理方法が正確及び完全であること
可用性: 許可された利用者が必要なときに、情報及び関連する資産にアクセス出来ること
| 【 登録証 】 | ||
| 登録組織名称 | 株式会社コンピューターシステムハウス | |
| 認証基準 | JIS Q 27001:2006 / ISO/IEC 27001:2005 登録番号 I204 |
 |
| 登録範囲 | ソフトウェア開発・保守、ソフトウェアパッケージ販売及び情報機器販売業務 (適用宣言書 発行日:2008年10月10日 1.11版) |
|
| 初回登録日 | 2008年11月20日 | |
| 有効期限 | 2011年11月19日 | |
| 認証機関 | 日本検査キューエイ株式会社 | |
■情報セキュリティ基本方針
制定:平成20年7月1日
株式会社コンピューターシステムハウスは、経営基本方針にのっとり、優れた技術、商品およびサービスによって、お客様の満足と信頼を得ることを目標とします。このため、お客様の情報、個人情報、財産的情報をはじめとする情報の保護が重要であることを認識し、本方針を策定し、情報資産の保護に取組み、健全なる情報化社会の実現へ向けて尽力してまいります。
1.情報資産の保護
各組織に情報セキュリティの責任体制を敷き、所要の規程の策定と実施により適切な管理に取り組みます。
2.法令等の遵守
事業上及び法令、または規制の要求事項、並びに契約上のセキュリティを遵守するとともに、環境の変化に合わせ、情報セキュリティ確保への継続的な改善・向上に努めます。
3.教育・研修の実施
全社員に対して情報セキュリティについての教育・研修を 継続的に実施し、その意識向上と情報セキュリティに関連する諸規程の徹底を図ります。
4.継続的な改善
内部監査及び第三者の審査に基づき、本方針及び関連する規定、管理体制の評価と見直しを定期的に行い、情報セキュリティの継続的改善を図ります。
5.安心できる製品・サービスの提供
利用されるお客様の情報のセキュリティに配慮し、安心してお使いいただける製品・サービスの提供に努めます。 万が一、情報セキュリティ上の問題が発生した場合には、その原因を迅速に究明し、その被害を最小限に止めるよう努めます。
以上
株式会社コンピューターシステムハウス
代表取締役社長 薮内 利明
株式会社コンピューターシステムハウス
代表取締役社長 薮内 利明
■弊社の取り組み状況(運用状況)
弊社では、情報セキュリティマネジメントシステム(ISMS)の取り組み状況(運用状況)について、公開しております。
| 【 2007年 】 | |||||
| 11 | 月 | 情報セキュリティマネジメントシステム(ISMS)を取得することを会社の方針として決定 |
|||
| 12 | 月 | 長年お付き合いのある先生にコンサルティングをお願いし、ISMS取得に向けての勉強会、 適用範囲の検討、情報資産の洗い出しを開始 |
|||
| 【 2008年 】 | |||||
| 2 | 月 | 文書(規定類)・様式(記録)の作成を開始 | |||
| 6 | 月 | ISMS審査を依頼する審査機関の検討 | |||
| 7 | 月 | ISMS審査を「日本検査キューエイ(JICQA)」にお願いすることを決定し、審査申請書を提出、受理 JICQAより、初回審査 第1段階審査計画書が発行 |
|||
| 8 | 月 | 第1回 内部監査、教育、事業継続訓練を実施 マネジメントレビューを実施 |
|||
| 8 | 月 | 22 | 日 | JICQAによる初回審査 (第1段階審査) 実施 | |
| 9 | 月 | JICQAより、初回審査 第2段階審査計画書が発行 | |||
| 10 10 |
月 月 |
9 10 |
日 日 |
JICQAによる初回審査 (第2段階審査) 実施 軽微な不適合1件 |
|
| 11 | 月 | 1 | 日 | 軽微な不適合1件の是正処置、観察事項の対応が完了 | |
| 11 | 月 | 20 | 日 | JIPDECの登録決定会議が行われ、登録が承認 | |
| 12 | 月 | 15 | 日 | 第2回 内部監査を実施 観察事項(改善事項)を含む6件の是正処置 |
|
| 12 | 月 | 18 | 日 | 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
|
| 12 | 月 | 22 | 日 | 内部監査時の是正処置6件の対応が完了 | |
| 【 2009年 】 | |||||
| 1 | 月 | 5 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 2 | 月 | 7 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 2 | 月 | 19 | 日 | 是正処置(1件) | |
| 3 | 月 | 7 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 3 | 月 | 18 | 日 | 情報資産台帳の見直しを実施し、3/18完了 | |
| 3 | 月 | 24 | 日 | リスクアセスメント実施し、3/24完了 | |
| 3 | 月 | 25 | 日 | リスク対応計画の策定 | |
| 3 | 月 | 26 | 日 | 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、3/26完了 | |
| 4 | 月 | 4 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 2/19に発生した是正処置(1件)の対応が完了 |
|
| 4 | 月 | 15 | 日 | 第3回 内部監査を実施 観察事項(改善事項)を含む7件の是正処置 |
|
| 4 | 月 | 27 | 日 | 2009年 第1回 教育と事業継続訓練を実施 | |
| 5 | 月 | 1 | 日 | 内部監査時の是正処置6件の対応が完了 | |
| 5 | 月 | 2 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 5 | 月 | 7 | 日 | 教育確認テストを実施 | |
| 5 | 月 | 8 | 日 | 全社員のISMSセルフチェックを実施 | |
| 5 | 月 | 12 | 日 | マネジメントレビューを実施 内部監査時の是正処置1件の対応が完了 |
|
| 5 | 月 | 18 | 日 | 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
|
| 6 | 月 | 6 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 7 | 月 | 4 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 7 | 月 | 27 | 日 | 観察事項(1件) | |
| 8 | 月 | 1 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 8 | 月 | 10 | 日 | 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、8/10完了 | |
| 8 | 月 | 20 | 日 | 情報資産台帳の見直し、リスクアセスメント、リスク対応計画の策定を実施し、8/20完了 | |
| 8 | 月 | 21 | 日 | 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
|
| 8 | 月 | 26 | 日 | 全社員のISMSセルフチェックを実施 | |
| 9 | 月 | 2 | 日 | 第4回 内部監査を実施 観察事項8件(改善・懸案事項)を含む計9件の是正処置 |
|
| 9 | 月 | 5 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 9 | 月 | 14 | 日 | 内部監査時の観察事項3件(改善・懸案事項)、是正処置1件の対応が完了 | |
| 9 | 月 | 24 | 日 | 2009年 第2回 教育と事業継続訓練を実施 教育確認テストを実施 |
|
| 9 | 月 | 29 | 日 | 内部監査時の観察事項5件(改善・懸案事項)の対応が完了 | |
| 9 | 月 | 30 | 日 | マネジメントレビューを実施 | |
| 10 | 月 | 1 | 日 | JICQAによるサーベイランス審査実施 軽微な不適合1件 |
|
| 10 | 月 | 3 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 10 | 月 | 15 | 日 | 軽微な不適合1件の是正処置が完了 | |
| 11 | 月 | 7 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 12 | 月 | 5 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 12 | 月 | 7 | 日 | 全社員のISMSセルフチェックを実施 | |
| 【 2010年 】 | |||||
| 1 | 月 | 4 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 1 | 月 | 15 | 日 | マネジメントレビューを実施 | |
| 2 | 月 | 5 | 日 | 情報資産台帳の見直し、リスクアセスメント実施し、2/5完了 リスク対応計画の策定 |
|
| 2 | 月 | 6 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 3 | 月 | 5 | 日 | 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、3/5完了 | |
| 3 | 月 | 6 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 4 | 月 | 3 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 4 | 月 | 19 | 日 | 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
|
| 4 | 月 | 27 | 日 | 第5回 内部監査を実施 観察事項5件(改善・懸案事項)を含む計7件の是正処置 |
|
| 4 | 月 | 22 | 日 | 観察事項1件(改ざんされたサイトの発見、関係機関への連絡) | |
| 5 | 月 | 1 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 | |
| 5 | 月 | 10 | 日 | 観察事項1件(改ざんされたサイトの発見、関係機関への連絡) | |
| 5 | 月 | 12 | 日 | 2010年 第1回 教育と事業継続訓練を実施 教育確認テストを実施 |
|
| 5 | 月 | 18 | 日 | 観察事項1件(改ざんされたサイトの発見、関係機関への連絡) | |
| 5 | 月 | 19 | 日 | 観察事項1件(改ざんされたサイトの発見、関係機関への連絡) | 6 | 月 | 5 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 内部監査時の観察事項5件(改善・懸案事項)を含む計7件の是正処置の対応が完了 |
| 6 | 月 | 14 | 日 | 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
|
| 7 | 月 | 1 | 日 | 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
7 | 月 | 3 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 |
| 7 | 月 | 26 | 日 | 是正処置1件(開発部門) | |
| 8 | 月 | 3 | 日 | 是正処置1件(開発部門) | 8 | 月 | 7 | 日 | 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施 予防処置1件(セキュリティ事例) 全PCのチェックを実施 |
| 8 | 月 | 9 | 日 | 是正処置1件(開発部門) | |
| 8 | 月 | 23 | 日 | 是正処置1件(開発部門) | |
