SECURITY POLICY

1．情報セキュリティの目的

情報セキュリティの推進を通じて、当社所有の資産の効果的且つ効率的な活用による戦略的経営をより一層進めていくとともに、お客様及びステークホルダーの信頼と満足を得ることを目的とします。

2．適用範囲

当社のすべての事業及び業務に係わる役員、社員、契約社員、パート、受入れ派遣社員、業務委託従事者（以下、「従業者」という）及び資産を対象とします。

3．情報セキュリティの推進体制

当社は、経営者を中心とした情報セキュリティ推進体制を確立するため、経営者により情報セキュリティ管理責任者を任命し、情報セキュリティ管理責任者を統括責任者とする情報セキュリティ委員会を設置します。

4．資産の管理・保護

リスクを分析、評価するための仕組みを確立した上で、当社が保有する資産のリスクを適切に分析、評価し、資産の安全保護につとめます。

5．教育

当社の従業者に対し、情報セキュリティの重要性を認識するための教育を通じ、倫理的行動が社会的責任であることを周知し、情報セキュリティ意識の向上を図ります。

6．セキュリティインシデントの管理

セキュリティインシデントを未然に防止するための管理体制を確立することはもちろんのこと、万が一のセキュリティインシデント発生に対しても、経営を中心とした初動対応、原因究明、再発防止のための迅速且つ適切な対応の仕組みを確立します。

7．コンプライアンス

当社の従業者は、法令、規制及び契約上の義務を認識し、それらの順守に努めます。

8．継続的改善

当社は、情報セキュリティに関する運用状況の監視及び、定期的な監査を通じて、当社情報セキュリティを見直し、さらに必要な改善処置を講ずることにより、情報セキュリティの継続的改善を図ります。

9．罰則

当社の従業者が本基本方針に反する行為を行った場合は、懲戒規程に基づいて処罰されます。

CSP：クラウドサービスプロバイダとしての情報セキュリティ方針

・ クラウドサービスの設計及び実装に適用する最低限の情報セキュリティ要求事項

情報セキュリティ要求事項を考慮した基本方針を策定し、クラウドサービスの設計及び実装を行います。

・ 内部関係者からのリスク

情報セキュリティリスクアセスメントを行い、特定されたリスクに対して適切な管理策を実施します。

・ クラウドサービス環境の隔離

マルチテナント及びクラウドサービスカスタマの隔離について、サービス環境ごとに考慮し提供します。

・ 当社担当者によるお客様資産へのアクセス

規約に記載しているお客様データの利用条件を除き、お客様の事前の承認を得ずにアクセスいたしません。

・ アクセス手順

アクセスは社内で定められた手順の遵守と情報アクセスへの定期的な監視によって適切に保護されています。

・ お客様への変更通知

利用中のクラウドサービスへの影響度を分析し、お客様のサービス利用に大きな影響を与える変更については適切に変更情報を通知いたします。

・ 仮想化セキュリティ

インスタンス、ネットワーク、クラウドサービス特有のサービスに対して、適切な対策を行います。

・ クラウドサービスで保管するデータへのアクセス及び保護

扱う各種データについて、適切なアクセス管理と保護を実施ます。情報リスクアセスメントにより暗号化が必要と特定された情報については暗号化を適用して保護いたします。

・ アカウントの管理

利用規約に基づき、お客様の責任にてアカウントの管理を実施いただきます。

・ インシデントの通知、調査及びフォレンジックを支援するための情報共有

インシデント通知、調査及びフォレンジックを支援するための情報を共有いたします。

CSC：クラウドサービスカスタマとして以下を考慮して利用します。

・ クラウドコンピューティング環境に保存する情報は、クラウドサービスプロバイダによるアクセス及び管理の対象となる可能性を考慮します。

・ クラウド上の資産はクラウドコンピューティング環境の中に保持される可能性を考慮します。

・ 処理は、マルチテナントの仮想化されたクラウドサービス上で実行される可能性を考慮します。

・ クラウドサービスユーザ、及びクラウドサービスユーザがクラウドサービスを利用する状況を確認します。

・ クラウドサービスカスタマの特権的アクセスをもつクラウドサービス実務管理者の操作を監視し、管理します。

・ クラウドサービスプロバイダの組織の地理的所在地、及びクラウドサービスプロバイダが（たとえ，一時的にでも）クラウドサービスカスタマデータを保存する可能性のある国を明確にします。

1．目的

株式会社ナレッジベースは、ITを活用した事業経営の仕組みとしてITガバナンスの確立を目指します。

ITガバナンスを確立することによって、当社は以下を達成します。

①戦略的な情報システム化投資によって、ITを経営に十分に活用します。

②情報資産の効率的な活用を実現するとともに、重要資産の保護管理（情報セキュリティ）の仕組みを作ります。

③コンプライアンスを遵守します。

④IT統制を整備するとともに、組織全体に亘って定着を図ります。

2．戦略

株式会社ナレッジベースは、「全体最適化」をITガバナンスの戦略とします。つまり、ITガバナンスを推進する目的は、情報システムを活用することによって事業経営の「全体最適化」を果たすことにあります。

当社にとって、全体最適化によって達成すべき目標は、以下に集約されます。

①サービスレベルおよび顧客満足度を向上させます。

②業務プロセスの効率化を図ります。

③ITサービスの品質向上（性能および機能の拡充、信頼性および安全性の向上）を実現します。

④IT投資効果を最大化します。

⑤ビジネスパートナーとの関係を強化します。

⑥外部環境の変化に対して、速やかかつ柔軟に対応がとれる態勢を設けます。

⑦利用者部門の負荷を軽減し、作業効率を高めます。

当社は、ITガバナンスにおける全体最適化の実現に際し、上記の目標をバランス良く実現し、利益の最大化と企業価値の増進を目指します。

3．組織・体制

株式会社ナレッジベースは、ITガバナンスを推進するために、CDO（最高デジタル責任者）をリーダーとした専門の組織体制を設けます。

ITガバナンス運営組織の中核として、ISMS事務局を設置します。

ISMS事務局は、IT統括役員の指揮の下に、全体最適化の実現を図ります。

ISMS事務局のスタッフには、全体最適化を推進するために十分に力を発揮できる人材を登用します。

4．予算計画

株式会社ナレッジベースは、全体最適化の実現にあたって、効率良く、必要かつ十分な投資を行うために、計画的な予算配分を実行します。予算の配分は、全体最適化によって達成される投資効果に見合ったものとします。

5．態勢

株式会社ナレッジベースのITガバナンスは、社員全員が一丸となって推進していくことによって達成されます。また、そのための態勢整備に真摯に取り組みます。