制定：平成３０年４月１日

　今日、インターネットをはじめとする情報通信ネットワークや情報システムの利用は生活、経済、社会のあらゆる面で拡大している。一方で、個人情報の漏えい、不正アクセスや新たな攻撃手法による情報資産の破壊・改ざん、操作ミス等によるシステム障害等が後を絶たない。また、自然災害によるシステム障害や疾病を起因とするシステム運用の機能不全にも備える必要がある。

　当社は、業務上取り扱う顧客の情報資産及び当社の情報資産を各種脅威から守り、企業としての社会的使命を果たすため、情報セキュリティポリシーとして本基本方針及び情報セキュリティ対策基準を定め、以下に対し積極的に取り組むことを宣言する。

（１）情報セキュリティ対策に取り組むための全社的な体制を確立する。

（２）情報セキュリティ対策の基準として情報セキュリティ対策基準を策定し、その実行のための手順等を盛り込んだ実施手順を策定する。

（３）当社の保有する情報資産及び顧客から預かった情報資産を適切に管理する。

（４）情報セキュリティ対策の重要性を認識させ、当該対策を適切に実施するために、社員等に対して必要な教育を実施する。

（５）情報セキュリティインシデントが発生した場合又はその予兆があった場合に速やかに対応するため、緊急時対応計画を定める。

（６）情報セキュリティ対策の実施状況の監査又は自己点検等を通して、定期的に対策の見直しを実施する。

（７）全ての社員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティ基本方針、情報セキュリティ対策基準及び情報セキュリティ実施手順を遵守する。

最高情報セキュリティ責任者　大内　周

---

１．目的

　本基本方針は、株式会社九州建設計画エンジニアリング（以下当社）が保有する情報資産及び顧客から預かった情報資産の機密性、完全性及び可用性を維持するため、当社が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

２．定義

（１）ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器（ハードウェア及びソフトウェア）をいう。

（２）情報システム
コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。

（３）情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。

（４）情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準をいう。

（５）機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

（６）完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。

（７）可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

３．対象とする脅威

　情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

（１）不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

（２）情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

（３）地震、落雷、火災等の災害による業務の停止等

（４）大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

（５）電力供給の途絶、通信の途絶等のインフラの障害からの波及等

４．適用範囲

（１）本基本方針の範囲
本基本方針の適用場所は、当社事務所の敷地内・現場事務所・詰め所など、当社の情報を取り扱うことを主たる目的とする場所とする。

（２）情報資産の範囲
本基本方針が対象とする情報資産は、次のとおりとする。
①　ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
②　ネットワーク及び情報システムで取り扱う情報（これらを印刷した文書を含む。）
③　情報システムの仕様書及びネットワーク図等のシステム関連文書
④　紙等の有体物に出力された全ての情報、及び紙等の有体物にて入手した全ての情報
⑤　上記以外の業務上知りえた無形の情報

５．社員等の遵守義務

　社長、取締役、社員、非常勤社員及び派遣社員（以下「社員等」という。）は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

６．情報セキュリティ対策

上記３の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

（１）組織体制
当社の情報資産について、情報セキュリティ対策を推進する全社的な組織体制を確立する。

（２）情報資産の分類と管理
当社の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

（３）物理的セキュリティ
サーバ等、情報システム室等、通信回線等及び社員等のパソコン等の管理について、物理的な対策を講じる。

（４）人的セキュリティ
情報セキュリティに関し、社員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。

（５）技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

（６）運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。

７．情報セキュリティ監査又は自己点検の実施

　情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査又は自己点検を実施する。

８．情報セキュリティポリシーの見直し

　情報セキュリティ監査又は自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

９．情報セキュリティ対策基準の策定

　上記６、７及び８に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

１０．情報セキュリティ実施手順の策定

　情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。

　なお、情報セキュリティ実施手順は、公にすることにより当社の業務に重大な支障を及ぼすおそれがあることから非公開とする。