情報セキュリティへの取り組み
情報セキュリティ基本方針
当社は顧客企業のシステム分析とコンサルテーションの実施による総合的なインテグレーション事業と、ハードウェア保守並びにシステムの運用に対するシステムサポート事業を行っております。これらの事業で当社が取り扱う顧客及び当社の情報資産は、当社の経営基盤として極めて重要なものと認識しております。
当社は、様々なセキュリティリスクから情報資産を保護するため、情報セキュリティ基本方針を定め、これを実施し推進いたします。
- 1適用範囲
本基本方針は、当社の情報セキュリティマネジメントシステム適用範囲で定めた組織・業務において取り扱う情報資産を対象としております。情報資産とは、当社が保有または運用管理する情報、データ及び情報システム、ソフトウェア、ネットワーク設備・施設、書類、ノウハウや知的財産等を指します。
- 2情報セキュリティ体制
経営陣を中心とした情報セキュリティ体制を整備し、情報セキュリティの確立・導入・運用・監視・レビュー・維持及び改善に努めます。
- 3情報資産の保護
情報資産は、機密性・完全性・可用性の観点からリスクアセスメントを行い、情報セキュリティポリシーに基づいて適切な情報資産の保護に努めます。
- 4法令等の遵守
当社は、情報セキュリティに関する法令、その他規範を遵守するよう努めます。
- 5情報セキュリティ教育・訓練
当社は、役員・従業員等に対して、情報セキュリティ向上の目的及び重要性の認識の為に教育活動を行い、周知徹底を図ります。
- 6情報セキュリティインシデントへの対応
情報セキュリティインシデント(事件・事故など)発生時、もしくはその予兆があった場合、速やかに予防・是正処置対応を行うように取り組みます。
- 7見直し及び改善
事業内容・経営方針の変更、社会的変化、技術的変化、法令等の変更などに伴い、情報セキュリティポリシーを定期的に見直し、改善を行ってまいります。
取り組み
ISO/IEC27001(ISMS)
当社は、当社が取り扱う顧客企業及び当社の情報資産は、当社の経営基盤として極めて重要なものと認識しています。さまざまなセキュリティリスクから情報資産を保護するため、情報セキュリティマネジメントシステム(ISMS)認証を取得しています。
- 登録範囲
- 顧客から受注する、システム分析、設計、開発、保守、運用、サービス提供業務統合パッケージソフトの設計、開発、導入支援業務、含まれる事業所(東京本社、東京本社京橋エドグラン、大阪本社、横浜支店、 名古屋支店、京都支店、福岡支店、東日本第2データセンター)
SOC1・SOC2 Type2報告書
受託業務に係る内部統制を対象とした「SOC1 Type2」保証報告書[米国基準AT-C320(SSAE18)]及びTrustサービス規準(うち「セキュリティ」の規準)に関連する内部統制を対象とした「SOC2 Type2」保証報告書[米国基準AT-C105・AT-C205(SSAE18)・SOC2 Trust Services Criteria(Security)を受領しています。
顧客企業に透明性と信頼性の高いクラウドサービスを提供するとともに、財務諸表監査・内部統制監査の負担軽減を実現し、情報セキュリティリスクへの対応においても客観的評価を得ています。
セキュリティ人材の育成
近年増加するサイバー攻撃の対策にも力を入れています。 セキュリティ対策の専門チームを社内に設け、セキュリティ対策規程を制定したり品質を確認したりするほか、複数の外部セキュリティ専門企業による脆弱性診断を定期的に実施し、「OBIC7」及びクラウドサービスについて高い評価を受けています。
セキュリティ人材育成のため、サイバーセキュリティ分野における国家資格である「情報処理安全確保支援士」の資格取得を推奨しており、現在、十数人の社員が資格を登録・更新しています。