1．基本方針

当社は、全ての情報資産を適切に管理し、事業継続を支えるための情報セキュリティマネジメントを推進します。

2．体制・責任

経営層の指揮のもと情報セキュリティ責任者（CISO）を任命し、各部署に管理責任者を置き、監督・実行・監査の役割を明確化します。

3．リスクアセスメント

資産の棚卸し、脅威・脆弱性の評価、リスク受容基準の設定を行い、リスク対応（低減・移転・回避・受容）を実施します。

4．教育・啓発

全従業者に対し、入社時および定期的なセキュリティ教育を実施し、意識の定着を図ります。

5．物理的安全管理

入退室管理、施錠、監視カメラ等を適切に運用し、紙媒体の保管・廃棄も厳格に管理します。

6．技術的安全管理

アクセス制御、暗号化、マルウェア対策、パッチ管理、ログ監査、多要素認証、脆弱性診断を実施します。

7．委託先管理

委託・再委託先に対する契約・監督を行い、秘密保持・再委託条件・事故報告義務などの遵守を求めます。

8．インシデント対応

検知・報告・封じ込め・根絶・復旧・再発防止のプロセスを整備し、外部関係機関との連携体制を整えます。

9．監査・改善

内部監査を定期的に実施し、経営層レビューを通じて継続的に改善します。

10．制定・改定

本方針は制定日より施行し、社会環境・技術の変化に応じて改定します。