KiBANはお客様からの信頼を第一と考え、当社が取り扱うお客様の情報を含むすべての情報資産の重要性を強く認識し、必要な情報セキュリティマネジメントシステムを運営いたします。
自らのリスクを評価し、必要なセキュリティレベルを決め、私たちが保護すべき情報資産の機密性、完全性、可用性をバランス良く維持し改善して、お客様の信頼にお応えします。これにより、法令遵守を基本とした企業倫理の更なる向上と、情報化社会における安全性・信頼性の確保を行ないます。
●ISMSのPDCA → 継続管理
ISMSの導入だけでは効果を永続的に得られるものではなく完全なる情報セキュリティはない、という認識を共有することが必要と考えております。継続的な改善を繰り返すことでセキュリティレベルを高めるのだという意識を、共通認識として浸透するよう努力してまいります。
■Plan
情報セキュリティ対策の具体的計画、方針を策定する。
■Do
計画に基づいて対策の実施・運用を行う。
|
■Check
実施した結果の監査を行う。
■Act
経営陣による見直しを行い、改善する。
|
当社はISMS認証を取得しましたが、これはゴールではなく、KiBANがセキュアな会社になるためのスタートラインに立ったに過ぎません。企業の情報セキュリティマネジメントの順守すべき内容はISMSガイドラインなどに記されています。しかし、それを日常業務の中で確実に守っていくためには、一人ひとりの従業者の意識改革であり、日常の習慣として自然に振舞えるように工夫を加えることです。
このような状況に会社をつくり上げるための足場をISMS認証取得によって得たと認識しています。
(1)体制
ISMS管理責任者のもとにISMS事務局を設置し、ISMSの構築を行いました。ISMS事務局のメンバーは、運用後も情報セキュリティ管理者として各部署でISMSを推進しています。
ISMS管理責任者はマネジメントレビュー、内部監査、情報セキュリティ管理者の教育研修等、委員会や適用範囲全体のマネジメントシステムの運用を行っております。
(2)構築
業務及びプロセス毎の情報資産が抱えるリスクの大きさを測り、リスク対策を決定し導入する作業を行いました。
業務フロー、情報資産台帳を作成し、重要な業務、情報資産価値(機密性、完全性、可用性)を特定したうえで、リスク分析表で各プロセス毎のリスクの大きさを測定しました。
当社の受容リスクレベルを超えるプロセスについては、ISO27001の詳細管理策に準じた詳細リスク分析により適切なリスク対策を選択し、導入しています。
(3)計画・運用・監視・改善/PDCAの実施
- 当社は情報セキュリティ基本方針及びセキュリティ目標を基に情報セキュリティ活動を行っております。
- 当社ではグループウェア(サイボウズ)を日常業務の管理ツールとして全従業者が活用しています。ISMSも必要情報をここに掲載して情報の共有化を図り、日々の業務で情報資産を適切に取り扱っています。
- 毎日朝礼時に改善ミーティングを開きます。従業者は毎月1件以上の改善提案を出すことになっています。朝礼ではクリアデスク・クリアスクリーンなど日々の管理の徹底を図っています。
- ISMS事務局はISMSカレンダー(情報セキュリティ活動スケジュール表)に沿って情報セキュリティ活動が計画通り実行されているかどうかをチェックしています。
- 全従業者の実施状況はeラーニングによるセルフチェックを実施し、ISMS事務局が定期的なチェックを行い、経営層に報告することで、組織的かつ継続的に情報セキュリティが維持されております。
- 内部監査はJIPDEC認定監査員研修に合格した従業者が内部監査を実施します。監視した事象の分析、是正処置、予防処置及びマネジメントレビューを通じて、ISMSの有効性を継続的に改善しています。
