KDX合同会社（以下、「当社」といいます。）は、ITコンサルティングおよびDX推進サービスを提供する企業として、お客様からお預かりした情報資産および当社の情報資産を脅威から保護することを社会的責務と認識しております。お客様ならびに社会からの信頼に応え、継続的な事業活動を確保するため、ここに情報セキュリティ基本方針を定め、全従業員（役員、正社員、契約社員、パートタイマー、アルバイト等を含む。以下同様）がこれを理解し、遵守することを徹底します。

第1条 情報セキュリティへの取り組み

• 経営者は情報セキュリティ管理体制を構築し、本基本方針に基づいた対策を主導的に実行します。
• 情報セキュリティに関する目的を設定し、定期的に見直しを行います。
• 情報セキュリティに関わる契約上のセキュリティ義務を遵守します。

第2条 情報資産の管理

• 当社が取り扱う全ての情報資産（電子データ、物理媒体）を特定し、重要度に応じて分類します。
• 情報資産の機密性、完全性、可用性を維持するための適切な管理策を講じます。
• 不要となった情報資産は、定められた手順に従って確実に廃棄します。

第3条 リスクアセスメントと対策

• 情報資産に関わる潜在的なリスクを定期的に特定、分析、評価します。
• 評価されたリスクに対し、組織的、物理的、技術的な観点から効果的なセキュリティ対策を実施します。
• 新たな脅威や脆弱性に関する情報を収集し、必要に応じて対策を見直します。

第4条 組織体制と責任

• 情報セキュリティ管理に関する明確な責任体制を構築し、情報セキュリティ責任者を任命します。
• 各従業員は、情報セキュリティに対する自身の役割と責任を理解し、割り当てられたセキュリティ義務を遂行します。

第5条 アクセス制御

• 情報資産へのアクセス権限は、業務上の必要性に応じて最小限に付与し、厳格に管理します。
• アクセス権限は定期的に見直し、退職や異動に伴い不要となった権限は速やかに削除します。
• 重要な情報資産へのアクセスについては、ログを取得し監視を行います。

第6条 物理的セキュリティ

• 情報資産を保管する区域への不正な立ち入りを防止するため、物理的な入退室管理措置を講じます。
• 地震、火災、水害等の災害に備え、情報資産の保護策を講じます。

第7条 技術的セキュリティ

• 不正アクセスやマルウェア等からの保護のため、ファイアウォール、アンチウイルスソフト等の技術的な対策を導入し、適切に運用します。
• 使用するソフトウェアやシステムは常に最新の状態に保ち、脆弱性への対応を行います。
• 安全なネットワーク環境を維持管理します。

第8条 人事セキュリティ

• 採用時および退職時には、情報セキュリティに関する誓約書の取り交わし等を行います。
• 全従業員に対し、情報セキュリティに関する定期的な教育および訓練を実施し、セキュリティ意識の向上を図ります。
• 情報セキュリティに関する違反行為に対しては、就業規則等に基づき厳正に対処します。

第9条 委託先の管理

• 情報資産の取り扱いを外部に委託する際は、委託先の情報セキュリティ対策が当社の基準を満たしていることを確認します。
• 委託契約において、情報セキュリティに関する責任範囲と要求事項を明確に定めます。
• 委託先の情報セキュリティ対策の状況を定期的に評価します。

第10条 情報セキュリティインシデントへの対応

• 情報セキュリティインシデント発生時の報告体制および対応手順を確立します。
• インシデント発生時には、被害の拡大を最小限に抑えるとともに、迅速な復旧に努めます。
• インシデントの原因究明を行い、再発防止策を講じます。

第11条 事業継続管理

• 災害や重大なシステム障害等の発生時においても、重要な事業活動を継続できるよう維持します。
• 事業継続計画の実効性を確認するため、定期的な訓練を実施します。

第12条 定期的な評価と改善

• 情報セキュリティ対策の実施状況および有効性を評価します。
• 結果に基づき、情報セキュリティマネジメントシステムの継続的な改善を行います。

本基本方針は、当社の役員および全ての従業員に周知徹底され、遵守されるものとします。また、本基本方針は必要に応じて見直しを行い、継続的な改善に努めます。