株式会社 Berry(以下、当社)は、当社の事業活動を行う上で、お客様の情報をはじめとした情報資産を守ることは重要な責務であると認識し、業務に携わらなければならない。
当社が保有する情報資産をあらゆる脅威から保護し、適切な安全管理を実現するための指針として、情報セキュリティ方針を策定し、当社事業にかかわるすべての要員が管理徹底を実践し、その維持を実現する。
第1条 当社が保有する情報資産をあらゆる脅威から保護し、情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応え、適切な安全管理を実現することを目的とする。
第2条 当社における情報セキュリティの保護対象は、当社事業にかかわるすべての情報資産および情報処理機能を有する情報システムとする。
情報セキュリティ方針の適用範囲は、論理的、人的、物理的、環境的リソース含む、当社全従業員を対象とする。
第3条 次の各号に定める者は、当該各号に定める当社情報セキュリティ方針における責任を担うものとする。
当社における情報セキュリティに対し、リーダーシップを持ち当社全体の情報セキュリティ推進を担う。
取締役より指示のあった情報セキュリティに関する対応を遵守する。また、情報セキュリティに対する知識向上、意識向上に努める。
当社の定めた情報セキュリティに関するすべての対応を遵守する。
第4条 情報セキュリティ方針は組織内へ向けた情報セキュリティ管理の方針を示すものとする。
情報セキュリティ基本方針は組織外へ向けた当社の情報セキュリティ管理に関する方針を示すものとする。
また、情報セキュリティ方針を基に、情報管理規程を策定し、セキュリティの維持、更新、変更等に対応する。
情報セキュリティ方針は、当社の他の規程と同等の位置づけの文書とする。
第5条 当社は、当社情報セキュリティの実施を推進するため、部門横断で情報セキュリティ委員会を設け、全社的な情報セキュリティマネジメントを遂行する。
情報セキュリティ委員会は、以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティに関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。
役職名 | 役割と責任 |
---|---|
情報システムセキュリティ責任者 | 当社情報セキュリティにおける責任者。情報セキュリティ対策などの決定権限・作業責任を有するとともに、全責任を負う。 |
情報システムセキュリティ部門責任者 | 各部門における情報セキュリティの運用管理責任者。各部門における情報セキュリティ対策の実施等の責任を負う。 |
システム管理者 | 各情報システムのシステム管理者。情報セキュリティ対策のためのシステム管理を行う。 |
個人情報取扱責任者 | 個人情報についての情報セキュリティに関する責任者。 |
監査責任者 | 情報セキュリティ対策が適切に実施されているか、情報セキュリティ関連規程を基準として監査し評価を実施する。 |
第6条 情報資産保護のため、情報セキュリティマネジメントを以下の通りに進める。
当社の情報資産に関するリスクアセスメント、リスクマネジメント全般は、情報セキュリティ委員会が行うこととする。
『情報セキュリティポリシー』とは、情報セキュリティ基本方針、情報セキュリティ方針および情報セキュリティに関連する規程類と定義する。
『情報セキュリティポリシー』の策定・評価・レビューは情報セキュリティ委員会が行うこととする。対策手順書に関しては、情報セキュリティ委員会より指名された各情報システムの担当者が策定し、運用しなければならない。
当社で策定した『情報セキュリティポリシー』に記述した対策は、計画的に実装しなければならない。情報システム部は、セキュリティ対策実装のための計画書を策定し、情報セキュリティ委員会の承認を得なければならない。
当社は、情報資産を扱うすべての者に対し、意識向上と技術レベルの向上の両面から、積極的に情報セキュリティ教育を行うこととする。 当社の情報資産に関わるすべての者は、当社が実施する情報セキュリティの教育を受けなければならない。
情報セキュリティ委員会は、定期的あるいは発見の可能性のあるときに情報セキュリティに対する脅威、脆弱性を洗い出し、その対策を検討し、『情報セキュリティポリシー』に反映させなければならない。
第7条 当社は、情報セキュリティ違反者に対し、厳格な処置をとることとする。
情報セキュリティ委員会は、『情報セキュリティポリシー』に違反した事項の重要度を評価し、適切な処置を講じることとする。
第8条 当社は、当社の情報セキュリティが侵害されたと思われる事象が判明した場合は、速やかに準備された対応方法に従って対応しなければならない。
2024 年 9 月 1 日