情報セキュリティ基本方針

■ISO/IEC 27001 (情報セキュリティマネジメントシステム)

(国際規格:ISO/IEC 27001:2013 / JIS規格:JIS Q 27001:2014)

情報セキュリティマネジメントシステム(ISMS)とは、企業活動を行う上で、情報資産(ハードウェア・ソフトウェア・情報(書類及びデータ類)・設備・サービス)の漏洩、改ざん、盗難、破壊を防ぐルールを策定し、正しく管理する仕組みです。

組織が保護すべき情報資産について、機密性・完全性・可用性をバランス良く維持し、改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトです。

 機密性: アクセスを許可された者だけが、情報にアクセス出来ること
 完全性: 情報及び処理方法が正確及び完全であること
 可用性: 許可された利用者が必要なときに、情報及び関連する資産にアクセス出来ること

【 登録証 】
登録組織名称 株式会社コンピューターシステムハウス
認証基準 JIS Q 27001:2014 / ISO/IEC 27001:2013
登録番号 I204
登録範囲 ソフトウェア開発・保守、ソフトウェアパッケージ販売及び情報機器販売業務
(適用宣言書 発行日:2014年7月1日 2.0版)
初回登録日 2008年11月20日 (更新日:2014年11月20日)
有効期限 2017年11月19日
認証機関 日本検査キューエイ株式会社



■情報セキュリティ基本方針

制定:平成20年7月1日

株式会社コンピューターシステムハウスは、経営基本方針にのっとり、優れた技術、商品およびサービスによって、お客様の満足と信頼を得ることを目標とします。このため、お客様の情報、個人情報、財産的情報をはじめとする情報の保護が重要であることを認識し、本方針を策定し、情報資産の保護に取組み、健全なる情報化社会の実現へ向けて尽力してまいります。

1.情報資産の保護

各組織に情報セキュリティの責任体制を敷き、所要の規程の策定と実施により適切な管理に取り組みます。

2.法令等の遵守

事業上及び法令、または規制の要求事項、並びに契約上のセキュリティを遵守するとともに、環境の変化に合わせ、情報セキュリティ確保への継続的な改善・向上に努めます。

3.教育・研修の実施

全社員に対して情報セキュリティについての教育・研修を 継続的に実施し、その意識向上と情報セキュリティに関連する諸規程の徹底を図ります。

4.継続的な改善

内部監査及び第三者の審査に基づき、本方針及び関連する規定、管理体制の評価と見直しを定期的に行い、情報セキュリティの継続的改善を図ります。

5.安心できる製品・サービスの提供

利用されるお客様の情報のセキュリティに配慮し、安心してお使いいただける製品・サービスの提供に努めます。 万が一、情報セキュリティ上の問題が発生した場合には、その原因を迅速に究明し、その被害を最小限に止めるよう努めます。

以上

株式会社コンピューターシステムハウス
代表取締役社長 薮内 利明



■弊社の取り組み状況(運用状況)

弊社では、情報セキュリティマネジメントシステム(ISMS)の取り組み状況(運用状況)について、公開しております。

【 2007年 】

11月 情報セキュリティマネジメントシステム(ISMS)を取得することを会社の方針として決定
12月 長年お付き合いのある先生にコンサルティングをお願いし、ISMS取得に向けての勉強会、
適用範囲の検討、情報資産の洗い出しを開始

【 2008年 】

2月 文書(規定類)・様式(記録)の作成を開始
6月 ISMS審査を依頼する審査機関の検討
7月 ISMS審査を「日本検査キューエイ(JICQA)」にお願いすることを決定し、審査申請書を提出、受理
JICQAより、初回審査 第1段階審査計画書が発行
8月 第1回 内部監査、教育、事業継続訓練を実施
マネジメントレビューを実施
8月22日 JICQAによる初回審査 (第1段階審査) 実施
9月 JICQAより、初回審査 第2段階審査計画書が発行
10月9日
10月10日
JICQAによる初回審査 (第2段階審査) 実施
軽微な不適合1件
11月1日 軽微な不適合1件の是正処置、観察事項の対応が完了
11月20日 JIPDECの登録決定会議が行われ、登録が承認
12月15日 第2回 内部監査を実施
観察事項(改善事項)を含む6件の是正処置
12月18日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
12月22日 内部監査時の是正処置6件の対応が完了

【 2009年 】

1月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月19日 是正処置(1件)
3月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月18日 情報資産台帳の見直しを実施し、3/18完了
3月24日 リスクアセスメント実施し、3/24完了
3月25日 リスク対応計画の策定
3月26日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、3/26完了
4月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2/19に発生した是正処置(1件)の対応が完了
4月15日 第3回 内部監査を実施
観察事項(改善事項)を含む7件の是正処置
4月27日 2009年 第1回 教育と事業継続訓練を実施
5月1日 内部監査時の是正処置6件の対応が完了
5月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月7日 教育確認テストを実施
5月8日 全社員のISMSセルフチェックを実施
5月12日 マネジメントレビューを実施
内部監査時の是正処置1件の対応が完了
5月18日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
6月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月27日 観察事項(1件)
8月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月10日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、8/10完了
8月20日 情報資産台帳の見直し、リスクアセスメント、リスク対応計画の策定を実施し、8/20完了
8月21日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
8月26日 全社員のISMSセルフチェックを実施
9月2日 第4回 内部監査を実施
観察事項8件(改善・懸案事項)を含む計9件の是正処置
9月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月14日 内部監査時の観察事項3件(改善・懸案事項)、是正処置1件の対応が完了
9月24日 2009年 第2回 教育と事業継続訓練を実施
教育確認テストを実施
9月29日 内部監査時の観察事項5件(改善・懸案事項)の対応が完了
9月30日 マネジメントレビューを実施
10月1日 JICQAによるサーベイランス審査実施
軽微な不適合1件
10月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月15日 軽微な不適合1件の是正処置が完了
11月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月7日 全社員のISMSセルフチェックを実施

【 2010年 】

1月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
1月15日 マネジメントレビューを実施
2月5日 情報資産台帳の見直し、リスクアセスメント実施し、2/5完了
リスク対応計画の策定
2月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月5日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、3/5完了
3月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月19日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
4月27日 第5回 内部監査を実施
観察事項5件(改善・懸案事項)を含む計7件の是正処置
4月22日 観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
5月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月10日 観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
5月12日 2010年 第1回 教育と事業継続訓練を実施
教育確認テストを実施
5月18日 観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
5月19日 観察事項1件(改ざんされたサイトの発見、関係機関への連絡)
6月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
内部監査時の観察事項5件(改善・懸案事項)を含む計7件の是正処置の対応が完了
6月14日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
7月1日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
7月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月26日 是正処置1件(開発部門)
8月3日 是正処置1件(開発部門)
8月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
予防処置1件(セキュリティ事例)
全PCのチェックを実施
8月9日 是正処置1件(開発部門)
8月23日 是正処置1件(開発部門)
9月2日 観察事項1件(他社の事例)
9月21日 観察事項1件(全社)
9月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月1日 JICQAによるサーベイランス審査実施
軽微な不適合2件
10月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月6日 観察事項1件(開発部門)
10月18日 軽微な不適合2件の是正処置が完了
10月18日 第6回 内部監査を実施
観察事項5件(改善・懸案事項)
10月29日 2010年 第2回 教育と事業継続訓練を実施
11月4日 予防処置1件(セキュリティ事例)
全PCのチェックを実施
11月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
11月25日 教育確認テストを実施
内部監査時の観察事項5件(改善・懸案事項)の対応が完了
12月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月10日 有効性の評価を実施
12月24日 マネジメントレビューを実施

【 2011年 】

1月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月10日 情報資産台帳の見直し、リスクアセスメント実施し、2/10完了
リスク対応計画の策定
3月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月18日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、4/18完了
4月27日 第7回 内部監査を実施
観察事項2件(改善・懸案事項)を含む計3件の是正処置
5月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
6月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月5日
9月6日
JICQAによる初回更新審査実施
軽微な不適合1件
10月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月11日 第8回 内部監査を実施
軽微な不適合1件、観察事項8件(改善・懸案事項)
10月13日 JIPDECの登録決定会議が行われ、登録更新が承認
10月29日 2011年 第2回 教育と事業継続訓練を実施
11月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月3日 有効性の評価を実施
12月27日 マネジメントレビューを実施

【 2012年 】

1月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
1月25日 情報資産台帳の見直し、リスクアセスメント実施し、1/25完了
リスク対応計画の策定
2月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月12日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、4/12完了
4月24日 第9回 内部監査を実施
軽微な不適合1件、観察事項2件(改善・懸案事項)
5月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
6月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月1日 JICQAによるサーベイランス審査実施
軽微な不適合1件
10月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月22日 第10回 内部監査を実施
軽微な不適合1件、観察事項2件(改善・懸案事項)
10月30日 2012年 第2回 教育と事業継続訓練を実施
11月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月19日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月21日 有効性の評価を実施
12月25日 マネジメントレビューを実施

【 2013年 】

1月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
1月15日 情報資産台帳の見直し、リスクアセスメント実施し、1/15完了
リスク対応計画の策定
1月21日 是正処置1件(開発部門)
2月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月25日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、4/25完了
5月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月20日 第11回 内部監査を実施
軽微な不適合1件、観察事項3件(改善・懸案事項)
5月27日 2013年 第1回 教育と事業継続訓練を実施
6月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
6月14日 是正処置1件(開発部門)
7月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月1日 JICQAによるサーベイランス審査実施
軽微な不適合1件
10月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月22日 第12回 内部監査を実施
軽微な不適合1件、観察事項5件(改善・懸案事項)
10月30日 2013年 第2回 教育と事業継続訓練を実施
11月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月3日 有効性の評価を実施
12月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月25日 マネジメントレビューを実施

【 2014年 】

1月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
1月15日 情報資産台帳の見直し、リスクアセスメント実施し、1/15完了
リスク対応計画の策定
2月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
3月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月11日 予防処置1件(開発部門)
4月22日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、4/22完了
4月30日 予防処置1件(セキュリティ事例)
5月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月22日 第13回 内部監査を実施
軽微な不適合1件、観察事項6件(改善・懸案事項)
5月29日 2014年 第1回 教育と事業継続訓練を実施
6月4日 予防処置1件(セキュリティ事例)
6月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月8日 2014年 臨時の教育実施(規格移行)
8月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月12日 第14回 内部監査を実施(規格移行)
軽微な不適合1件、観察事項6件(改善・懸案事項)
9月2日
9月3日
9月4日
JICQAによる第2回更新審査(ISO27001:2013移行審査)実施
9月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
11月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
11月21日 第15回 内部監査を実施
軽微な不適合2件、観察事項5件(改善・懸案事項)
12月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月17日 2014年 第2回 教育と事業継続訓練を実施
12月18日 有効性の評価を実施
12月26日 マネジメントレビューを実施

【 2015年 】

1月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月10日 情報資産台帳の見直し、リスクアセスメント実施し、2/10完了
3月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月24日 内部監査を実施するにあたって、文書(規定類)・様式(記録)の見直しを実施し、4/24完了
5月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月7日 第16回 内部監査を実施
軽微な不適合3件、観察事項3件(改善・懸案事項)
5月14日 2015年 第1回 教育と事業継続訓練を実施
6月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
7月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月27日 JICQAによるサーベイランス審査実施
軽微な不適合1件
11月5日 第17回 内部監査を実施
軽微な不適合1件、観察事項3件(改善・懸案事項)
11月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
11月11日 2015年 第2回 教育と事業継続訓練を実施
12月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月22日 有効性の評価を実施
12月28日 マネジメントレビューを実施

【 2016年 】

1月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
2月15日 情報資産台帳の見直し、リスクアセスメント実施
3月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
4月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
5月2日 文書(規定類)・様式(記録)の見直しを実施
5月7日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
6月4日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
6月17日 第18回 内部監査を実施
6月23日 2016年 第1回 教育と事業継続訓練を実施
7月2日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
8月6日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
9月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月1日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
10月20日 文書(規定類)・様式(記録)の見直しを実施
10月25日 JICQAによるサーベイランス審査実施
11月5日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
11月29日 第19回 内部監査を実施
12月2日 2016年 第2回 教育と事業継続訓練を実施
12月3日 記録の確認・整理(入退館/サーバ室入退室/持ち出し機器)及び、預かり証のチェックを実施
12月26日 パフォーマンス測定を実施
12月27日 マネジメントレビューを実施