1.制定の目的

この方針は、株式会社ライフィ（以下、当社といいます）における情報セキュリティガバナンスの方針を定めたものであり、社内の情報セキュリティをハイレベルに維持し事業継続及び機密情報漏えい等の脅威から守ることで企業の社会的責任を果たすとともに戦略的に企業競争力を高めることを目的とする。

2.経営陣の関与

当社の経営陣は情報セキュリティガバナンスの構築・維持を会社の最重要事項と位置づけ、その運営に常に中心となって関与するものとする。

3.ITセキュリティ委員会の設置と役割

当社情報セキュリティガバナンス体制を強固な維持管理を行うため、当社取締役及び有識者で構成されるITセキュリティ委員会を設置し、その役割を以下のように定義する。

1. 当社取締役会が情報セキュリティガバナンスを維持するために適切な情報提供・助言・技術的な判断を行う。
2. ITセキュリティ組織(*1)を通して当委員会に提出された情報セキュリティに係る戦略や取り組みについて、そのリスクを評価し承認することで安全性を担保する。なお、取締役会はITセキュリティ委員会で承認されたものでなければ決議することはできない。
3. セキュリティインシデントの際は対応策実行に関し、ITセキュリティ委員会が意思決定の権限を有する。

4.ITセキュリティ組織・人員管理

当社はITセキュリティ組織に必要な体制・役割・スキルを明確にし、常に人財の最適化と、全従業員に対する定期的な技術習得を行う。

5.外部委託先管理

当社は外部委託先を選定する際には、サービス品質とセキュリティの確保のため必要に応じて取引保険会社との協業により適切な措置を講じ、公正で適切な関係を維持する。

6.資産管理・構成管理

当社は自社が保持・利用するIT資産に関する情報を適切に把握し、最適なIT構成を確保する。

7.オペレーション管理

当社は情報システムに対して行われる各種オペレーションには明確な規則及びマニュアルを整備し、適切に運用を行う。

8.インシデント管理

当社は障害及び事故が発生した際には速やかな対策を行い、二次被害の防止を含む影響の最小化に努め、再発防止策を検討する。

9.セキュリティ対策管理

当社は自社の情報システム状況にあったセキュリティレベルを明確にし、それを構築・維持・更新するための取り組みを行い続ける。

ITセキュリティ組織図