信息安全基本方针
本公司开设了远程医疗支持业务,旨在通过医院和医师的专业化及网络化,对医疗质量的提升和高效化做出贡献。为此,本公司深刻认识到作为一家远程医疗支持公司所肩负的社会责任,以及对在公司业务中所处理的客户信息与各类信息资产保护的重要性。
本公司将已获得公司经营管理层批准的《ISMS基本方针》作为公司构建信息安全体制的基本方针,构建、导入、明确并维护信息安全管理系统(以下简称ISMS,即ISO27001),并对其进行持续性改进。
-
信息安全的定义 信息安全是指维护信息的机密性、完整性及可用性,对信息资产实施正确适当地保护。
-
信息安全的目的 对于本公司而言,信息资产是指在远程医疗支持业务、IT解决方案业务、医疗影像业务等公司业务活动中,最需要得到保护的重要信息部分,其目的是保护信息资产免受故意、意外或因环境(自然)引起的广范围的威胁,从而实现对信息资产的妥善保护。
-
适用范围 适用于本公司管辖下的所有信息资产。
-
基本方针
-
为了使信息资产风险降低到公司可容许的水平以下,设定ISMS基本方针及信息安全目标。根据该方针与目标,制定、实施、评估和分析ISMS计划,并不断改进。
-
明确识别法律法规所规定的信息安全对策、以及与公司业务合同相关的信息安全义务,结合ISMS共同遵守。但是,根据法律法规的规定,要求披露信息时,应在最高信息安全责任人的批准之下,披露最低限度的必要信息。
-
为确立并维持ISMS,配备必要的信息安全组织体制及对信息资产进行风险管理的环境,同时为提升员工的信息安全意识,构建信息安全教育或培训等实施体制。此时,经营管理层应提供充分的经营资源。
-
在确立风险评估标准的同时,规定风险管理的程序,对信息资产实施风险评估。在风险管理程序中,制定风险评估标准、经营管理层确定可容许的风险水平。
-
制定日:2009年5 月15日
ISO27001认证范围适用于服务部、技术・开发部及质量保证室。
IS 553457 / ISO27001