情報セキュリティ・ISMS方針群｜印刷会社の帆風（バンフー）

トップへ戻る

ニュースリリース

採用情報

お問い合わせ

帆風(バンフー)ホーム > 情報セキュリティ・ISMS方針群

情報セキュリティ・ISMS方針群

当社は、経営上の目的、顧客からの印刷受注という要望に応え、利害関係者との信頼構築に関連し、ＩＳＭＳ方針群を定め、情報セキュリティマネジメントシステムを確立し、実施致します。ＩＳＭＳ方針群は、情報セキュリティ方針、及び情報セキュリティのための方針群で構成されております

【ISMS適用範囲】

下記部門における印刷業務プロセス

・飯田橋本社内部門
〒162-0822 東京都新宿区下宮比町２ー２９　飯田橋ＮＫビル
営業部（東京）、営業支援課、店舗運営課、EC事業部、ECサービス事業部、プレートプランニング課、データチェック課（東京）

・竹橋プリンティングセンター内部門
〒100-0003 東京都千代田区一ツ橋一丁目１ー１　パレスサイドビル
進行管理課、POD課（オンデマンド、ノベルティ、ディスプレイ）、封筒課、配送課、印刷課、加工課、ADP

・営業部（大阪オフィス）
〒550-0002 大阪府大阪市西区江戸堀１丁目２３ー３５AXIS江戸一ビル１０階・A号

・データチェック課（札幌）
〒060-0001 北海道札幌市中央区北一条西３丁目３－４１マルイト時計台前ビル

【情報セキュリティ方針】

1. 当社は事業活動を展開する中で、情報セキュリティの重要性を認識し、信頼性・安全性の高い情報セキュリティを実現します。
2. 当社が保有・管理する情報資産を盗難、改ざん、破壊、漏洩、不正アクセス等の行為から保護し、情報セキュリティ対策への継続的な取り組みを行います。
3. 事業上及び法令又は規制の要求事項、並びに契約上のセキュリティ義務を遵守します。
4. 情報セキュリティに関連する要求事項に対応し、組織的かつ継続的な運用を可能とするため情報セキュリティマネジメントシステム（ISMS）を確立します。
5. 情報セキュリティマネジメントシステム（ISMS）を維持し継続的に改善を行います。
6. 上記1～5を、情報セキュリティ目的を決定する際の基礎と考え、情報セキュリティ委員会を中心に、部門責任者、適用範囲内従業員で活動を行います。

2022年5月30日
株式会社帆風
取締役管理本部長服部志郎

【情報セキュリティのための方針群】

<クリアデスク方針>
1. 重要な情報資産（書類及び外部記録媒体）を使用する机上等は、他の資料などに紛れてしまう事などが無い様、普段から整理整頓しておく。
2. 重要な情報資産（書類）を使用中に離する場合は、覗き見されないよう配慮する。
3. 退社及び外出、長時間の離席の際には、机上に放置せず、重要な情報資産（書類及び部記録媒体）を机の引き出しや所定の保管場所に収納する。

<クリアスクリーン方針>
1. PC等の端末は、アクセス権のない者からの覗き見に注意する。また、画面を表示させたままで離席しない。
2. 必要に応じて、PC等の端末に対して、パスワードロック機能付きのスクリーンセーバーを導入する。
3. 特別な理由がない場合は、退社及び外出、長時間の離席の際には、電源を切る。

<モバイル機器の利用方針>
1. モバイル機器に対する不正アクセス及び盗難や紛失を防止するために、適切な保護を行う。
2. モバイル機器には、業務上必要な最低限の情報に限定して保存する。
3. モバイル機器は、移動中及び業務中を問わず常に携帯し放置しない。
4. 公共の場所では、できる限りモバイル機器を使用することは避ける。
5. 外部記録媒体など非常に小さいモバイル機器を持ち出す場合は、紛失防止の対策を施す。

<テレワーキングにおけるセキュリティ方針>
1. 作業環境における安全性を確保し適正に維持する。
2. 書類等の保管環境における安全性を確保し適正に維持する。
3. モバイル機器の保管環境における安全性を確保し適正に維持する。
4. ネットワーク接続については、安全性を確保し適正に維持する。
5. モバイル機器を使用する場合は、<モバイル機器の利用方針>に従う。

<情報転送に関する方針>
1. 転送する情報は、盗聴、改ざん、破壊から保護するための対策を実施する。
2. 転送される可能性があるマルウェアを検出し、これらから保護する対策を実施する。
3. 転送における安全性を確保する手段として、暗号技術を適切に使用する。
4. 会社の信頼を損ねる行為（名誉毀損、嫌がらせ、チェーンメール等の転送、その他倫理的に問題のある事項など）は行わない。
5. 外部から受領した機密性のある情報は、不正アクセスから保護する。

<外部委託における情報セキュリティ方針>
1. 外部供給者において、情報資産へのアクセスを許可する対象者は特定し、最小限に限定する。
2. アクセスを許可する情報資産を特定する。
3. 順守状況を監視するための手段を明確にする。

<セキュリティのためのシステム開発方針>
1. 開発手法は、適切な手法を選定し適用する。
2. セキュリティに配慮したコーディング上のルールを定め遵守する。
3. 各開発工程におけるアウトプットを明確にし、次工程へ確実に引き継ぐ。ソースコードは不正アクセスから保護し、バージョン管理を適切に行う。
4. ソフトウェアに盛り込むべきセキュリティ要件を明確にして実装する。

<アクセス制御方針>
1. 情報資産の価値を考慮した上で、必要最小限のアクセス権限を付与する。
2. アクセス権限を付与するためのアカウントは、利用者毎に一意を基本とする。
3. アクセス権限について定期的な確認を実施し、必要な場合は設定を変更する。
4. 異動及び退職が発生した場合は、直ちにアクセス権限の見直しを行う。

<暗号による管理策の利用方針>
1. 情報資産の価値に応じて求められる保護レベルを実現するため、暗号による管理策を適用する。
2. 情報資産の取扱い状況におけるリスクに対応し、暗号による管理策を適用する。
3. 暗号化技術に関する最新情報を取得し、適切なリスク低減が行われることを維持する。

<暗号鍵の利用、保護方針>
1. 鍵のライフサイクル（生成～使用停止、破壊）全体にわたって必要な管理を行う。
2. 不適切な使用を抑止するため、鍵が使用できる期間を必要最小限に制限する。
3. 鍵は、改変、及び紛失、認可されていない利用、開示などから保護する。