2012年度 情報セキュリティ 目標達成状況
情報セキュリティマネジメントシステムの維持
2012年度は8月にISO9001とISO27001の統合審査を受審しました。審査の結果、マネジメントシステムの継続的改善・規格への適合性が認められました。指摘された観察事項については改善の機会として対応策を検討してまいります。
2012年8月 更新審査
- 是正処置要求(メジャー)0件
- 是正処置要求(マイナー)0件
- 観察事項(オブザベーション)11件
主な内容
- 保守委託先から提供される経理システムの更新プログラムは、経理部長からシステム担当者に依頼して適用されているが、その承認の記録やテストの実施方法が定められていないため、管理手順を明確にしての運用が望まれる。
- 社内システムの運用に関しても、システムの利用者を顧客とみなし、品質目標の策定や製品実現プロセスの管理を行なうことが望まれる。
目標達成状況
クリアスクリーンの徹底
入社時及び定期の教育の中でクリアスクリーン実施の目的と手順を周知しました。手順の実施状況はクリアデスクの実施状況と共に毎週事務局が確認し、モニターの点けっぱなしをはじめとする手順違反があった際は注意喚起を行なっています。
基幹サーバー復旧試験の実施
当社の基幹サーバー/サービスに障害が発生した際に、速やかに復旧できることを確実にするため、本番環境リリース前やメンテナンスのタイミングに復旧試験を実施しています。対象となるサービスが多く、稼働中のサービスへの影響を考慮して実施する必要があるため、3年を1つの周期として実施計画をたて、計画に沿って実施してまいります。
基幹データベースの冗長化
基幹データベースの可用性に課題があるため、データベースとそれを包括するシステムについて再構成を検討しています。他のシステムの運用も絡めて計画する必要があり、実装にはまだ着手できていないため、引き続き2013年度の目標として対応を進めてまいります。
ライフサイクルに沿ったサーバーのリプレイス
サーバーのスペック不足と老朽化による障害発生リスク回避のため、一部サーバーのリプレイスを実施しました。
ファイルサーバーバックアップシステムの見直し
ファイルサーバーの容量が増加し、速やかな復旧とバックアップの取得が困難な状況であったため、ファイルサーバー及びバックアップシステムの再構成を行ないました。
「個人情報の取り扱いに対する合意書」取り交わしフローの見直し
プライバシーマークと個人情報保護法の浸透を受け、「個人情報の取り扱いに 対する合意書」を締結するこれまでの運用を辞め、「個人情報の取り扱いに対する通知書」をお送りする運用へと変更いたしました。
(「個人情報の取り扱いに対する合意書」は、当該プロジェクトにおける個人情報の取り扱い方法をお客様と取り決めるための書面で、「個人情報の取り扱いに対する通知書」は、当該プロジェクトにおける当社の個人情報管理体制を通知するための書面です。この2つの書面は当社が独自に作成したものです)