情報セキュリティプログラム
当社は以下に基づいて情報セキュリティプログラムを策定しています。
情報セキュリティトレーニング
当社全社員は、入社してから30日以内に情報セキュリティトレーニングを完了することが期待され、その後も年次にわたり継続的に受講する必要があります。さらに、当社全社員は情報セキュリティトレーニングに参加し、情報セキュリティポリシーを理解していることを確認する必要があります。トレーニング資料は当社イントラネット上でも簡単に参照できるようになっています。
クラウドに関するセキュリティ
当社は、情報セキュリティを最優先事項とし、クラウドサービスの提供に際して厳格なセキュリティ管理を行います。当社のセキュリティポリシーは、ISO/IEC 27001などの国際標準規格に準拠し、情報セキュリティマネジメントシステム(ISMS)の認証を受けています。お客様の情報資産を保護し、信頼により応えるために、以下の方針を定めます。
1. クラウドサービス利用者の認証情報を強化し、多要素認証を導入する。
2. クラウドインフラストラクチャのセキュリティログを定期的に監視し、不正アクセスを検知する。
3. クラウドサービスの利用状況を監査し、セキュリティポリシーに違反していないかを確認する。
4. クラウドサービス利用者の個人情報を保護するためのプライバシーポリシーを策定する。
5. クラウドサービスへの管理アクセスに関する制御手順を策定する。
インシデント管理
当社のインシデント管理・対応ポリシーは、セキュリティインシデントの報告および対応に関する効率的なガイドラインを社内で明確に準備し、その内容を定期的に見直します。
脆弱性管理
当社の脆弱性管理ポリシーは、セキュリティ脆弱性の特定、分類、優先付け、軽減、解消プロセスを確立し、これを運営します。
データ分類
1. データ分類
当社のデータ分類ポリシーは、当社サービス・システムで処理されるデータを機密性のレベルに基づいて分類する方法を社内に示すとともに、その内容を定期的に見直します。
2. データバックアップ
当社のデータバックアップポリシーは、データが損失や破損から保護されるための運用を社内に明確に示し、それに則って運営します。
3. データ保持
当社のデータ保持ポリシーは、データの保持方法や、顧客・ユーザのデータ削除依頼を対応するための規定について社内に示しそれに従って運用します。
4. 暗号化
当社の暗号化ポリシーでは、処理データを暗号化することで、プライベート、専有、機密データをより適切に保護して運用しています。
エンドポイントセキュリティ
当社のエンドポイントセキュリティポリシーは、当社社員が使用するノートパソコンなどのエンドポイントを介した本番システムまたは重要なデータへの不正アクセスをどのように防止するかを社内に示すとともに、その内容を定期的に見直します。
許容使用ポリシー
当社の全社員は、組織の許容使用ポリシーを読んで理解し、これに従うことを認識する必要があります。許容使用ポリシーは、当社社員の職務、当社資産、当社デバイス、当社メール、当社内部ツール、当社ソーシャルメディアなどを含みます。
従業員の認識
上記情報セキュリティポリシーは、(許容使用ポリシーを含むすべてのポリシー)新入社員に対してオンボーディング時に提示され、全社員はこれを読み、確認する必要があります。
非遵守
前述の通り、お客様は当社にデータを保護する責任があると期待しています。お客様の信頼を守るために、情報セキュリティポリシーの違反に対する適切な罰則が重要です。当社経営陣は、社員の違反がどれだけ深刻かを判断し、適切な罰則を決定します。罰則には警告(口頭/文書)、またはより深刻な違反の場合は停職または解雇が含まれる場合があります。
株式会社クラフター
代表取締役 小島 舞子