Comments
Description
Transcript
CSR報告書2016 - 情報セキュリティ | リコージャパン
情報セキュリティ リコーグループの目指す情報セキュリティ 情報分野を事業領域とするリコー ISO/IEC27001 認証取得 セキュアな社会の実現 リコーグループは2004 年12 月に グループにとって、情報セキュリティ は不可欠の要素と認識しています。 「ISMS※ 認証基準 Ver.2.0」の統一認 情報価値の創造 そのため、情報セキュリティへの取り 証を同時取得いたしました。その後、 お客様への 価値提供 組みを全社員参加の活動と位置づけ、 2007年3月に 「ISO/IEC 27001:2005」 現場・第一線での日々の管理と継続 に移行登録を完了し、2014 年12月 的改善を進めるとともに、それらを基 P 情報 活用 盤としてお客様への価値提供を目指 情報 保護 社内実践 A した自社製品・サービスの積極的な社 全員参加 日々の管理と D 27001:2013」の移行審査に合格して います。 継続的改善 内活用を実践しています。 には規 格 改 訂された 「 ISO/IEC ※ISMS:Information Security Management System C こうした情報セキュリティ活動は、 リコーグループ 情報セキュリティマネジメント リコーグループ CSR 憲章にある「誠 実な企業活動」と「社会との調和」の 社会的責任経営 「誠実な企業活動」 + 「社会との調和」(CSR 憲章) 実践を目指すものです。 ■ 情報セキュリティ活動の 3 つの考え方 1 全員参加 役員から一般社員はもとより、協力会社など、パートナーの方々を含む全員で取り組む 2 日々の管理と継続的改善 各層のマネジメントレベルでPDCA サイクルを回して、継続的改善に取り組む 3 社内実践 自社の情報セキュリティ商品・ソリューションを、自らの情報セキュリティレベル向上に役立てながら、 その有用性を確認し、上手な使い方のノウハウ蓄積や製品・サービスの改良に取り組む 情報セキュリティの運用 ネジメントの実現を目指しています。 リスクの 発見 リスク 対応の決定 どのようなリスク対応にするかを 決定します ISMS 関連 Navi DB※ 重点管理情報 台帳 DB※ リスクの 分析・評価 セキュリティ 対策基準 リスクアセス メント DB C リスク対応計画の運用 リスク対応 計画策定 対応計画に 沿った運用 情報の保護や積極的な 活用を実現するための 計画を実行します ISMS 日常管理 情報預かり 情報持ち出し インシデント 管理 DB 管理 DB 管理 DB 教育履歴 管理 DB 内部監査 報告 DB 是正改善 計画 DB ※DB:データベース 21 A 情報セキュリティ運用結果のレビュー リスクマネジメント 管理策の有効性評価など ランスよく運用し、自律的なリスクマ 業務プロセスの特定 て、情報の保護と積極的な活用をバ (情報資産の洗い出しとリスク評価) 重 点 管 理 情 報の洗い出 し と リス ク 評 価 情報セキュリティの基本方針に則っ D リスクアセスメント 情 報 セ キュリ テ ィ 内 部 監 査 の 実 施 ISMS の運用イメージ P 誠実な企業活動 情報セキュリティ教育 内部監査とマネジメントレビュー 情報セキュリティ対策は、社員一人 リコージャパンでは、ISMS の適合 1 年間の ISMS 活動における重要 ひとりが情報活用にともなうリスクを 性や有効性を確認するため、内部監 な情報は、マネジメントレビューとし 認識して、自分の仕事を改善していく 査を定期的に実施。リスクアセスメン て経営陣に報告。さらに、トップから 必要があります。そこで情報セキュリ ト結果や、教育、日常ルールなど、セ の ISMS 方針を受け、翌年度の施策 ティ教育に力を入れ、全社員の意識 キュリティにおける強み・弱みを明確 を展開しています。 とスキルを高めています。 にし、監査結果に対して是正・改善す 社員は年に1 回実施する「情報セ ることで、リスク低減とセキュリティレ キュリティe ラーニング」 、守るべき ベルの向上を図っています。また、 ルールを定めた「ISMS ハンドブック」 ISMS の専門教育を受けた監査員が で学習しつつ、学習したことを浸透定 被監査組織と同じ目線に立ち、とも 着 さ せるために、 毎 月 第 1 週には に考え、新たな“気づき”を発見・共 「CSR-Weekセルフチェック」で確認 有する場となるようにしています。 しています。 V O I C E 社内での情報セキュリティに関する取り組み事例 重要性を認識し、課題解決の実践により 社員の働く環境が劇的に改善 神奈川支社 湘南営業部 湘南ソリューショングループ リーダー 佐伯 雄二 ISMS の実践により、社員の働く環境が劇的に改善し、モチベーションや仕事の 効率が向上しました。さらに会議に情報セキュリティの時間を常設。世間で起き ているインシデント情報を共有し、セキュリティ商品の提案に役立てています。 また、お客様と課題を共有し解決するための ViCreA(LiveOffice のこと、詳細 は 41 ページ参照)では、私たちが働いているオフィスをご覧いただくため、クリ アデスクなどの基本を徹底。お客様に「すばらしいオフィス」と評価いただき、 情報セキュリティeラーニング 実際の提案にもつながっています。 情報を取り扱う当事者の意識改革と 現場での営業活動につながる教育を実施 神奈川支社 湘南営業部 湘南営業所 所長 佐野峯 俊英 ISMS の実践により、 マネージャー層の情報資産の取り扱いに対する意識が向上。 営業などの現場でも実践的な教育を進めています。たとえば、お客様のセキュ リティ対策の一助として、社内ルールを記載した「ISMS ハンドブック」と「IT イン フラガイドブック」 については、常に携帯するように指導を徹底。情報セキュリティ 課題をお客様と共有し、良い提案に結びつけるために、日常的にセキュリティ上 の 10 大脅威やインシデントを例にして、営業担当者を教育しています。 ISMSハンドブック RICOH JAPAN CSR report 2016 22