...

CSR報告書2016 - 情報セキュリティ | リコージャパン

by user

on
Category: Documents
30

views

Report

Comments

Transcript

CSR報告書2016 - 情報セキュリティ | リコージャパン
情報セキュリティ
リコーグループの目指す情報セキュリティ
情報分野を事業領域とするリコー
ISO/IEC27001 認証取得
セキュアな社会の実現
リコーグループは2004 年12 月に
グループにとって、情報セキュリティ
は不可欠の要素と認識しています。
「ISMS※ 認証基準 Ver.2.0」の統一認
情報価値の創造
そのため、情報セキュリティへの取り
証を同時取得いたしました。その後、
お客様への
価値提供
組みを全社員参加の活動と位置づけ、
2007年3月に
「ISO/IEC 27001:2005」
現場・第一線での日々の管理と継続
に移行登録を完了し、2014 年12月
的改善を進めるとともに、それらを基
P
情報
活用
盤としてお客様への価値提供を目指
情報
保護
社内実践
A
した自社製品・サービスの積極的な社
全員参加 日々の管理と
D
27001:2013」の移行審査に合格して
います。
継続的改善
内活用を実践しています。
には規 格 改 訂された
「 ISO/IEC
※ISMS:Information Security Management
System
C
こうした情報セキュリティ活動は、
リコーグループ
情報セキュリティマネジメント
リコーグループ CSR 憲章にある「誠
実な企業活動」と「社会との調和」の
社会的責任経営
「誠実な企業活動」
+
「社会との調和」(CSR 憲章)
実践を目指すものです。
■ 情報セキュリティ活動の 3 つの考え方
1 全員参加
役員から一般社員はもとより、協力会社など、パートナーの方々を含む全員で取り組む
2 日々の管理と継続的改善
各層のマネジメントレベルでPDCA サイクルを回して、継続的改善に取り組む
3 社内実践
自社の情報セキュリティ商品・ソリューションを、自らの情報セキュリティレベル向上に役立てながら、
その有用性を確認し、上手な使い方のノウハウ蓄積や製品・サービスの改良に取り組む
情報セキュリティの運用
ネジメントの実現を目指しています。
リスクの
発見
リスク
対応の決定
どのようなリスク対応にするかを
決定します
ISMS
関連 Navi DB※
重点管理情報
台帳 DB※
リスクの
分析・評価
セキュリティ
対策基準
リスクアセス
メント DB
C
リスク対応計画の運用
リスク対応
計画策定
対応計画に
沿った運用
情報の保護や積極的な
活用を実現するための
計画を実行します
ISMS 日常管理
情報預かり 情報持ち出し インシデント
管理 DB
管理 DB
管理 DB
教育履歴
管理 DB
内部監査
報告 DB
是正改善
計画 DB
※DB:データベース
21
A
情報セキュリティ運用結果のレビュー リスクマネジメント
管理策の有効性評価など
ランスよく運用し、自律的なリスクマ
業務プロセスの特定
て、情報の保護と積極的な活用をバ
(情報資産の洗い出しとリスク評価)
重 点 管 理 情 報の洗い出 し と
リス ク 評 価
情報セキュリティの基本方針に則っ
D
リスクアセスメント
情 報 セ キュリ テ ィ 内 部 監 査 の 実 施
ISMS の運用イメージ
P
誠実な企業活動
情報セキュリティ教育
内部監査とマネジメントレビュー
情報セキュリティ対策は、社員一人
リコージャパンでは、ISMS の適合
1 年間の ISMS 活動における重要
ひとりが情報活用にともなうリスクを
性や有効性を確認するため、内部監
な情報は、マネジメントレビューとし
認識して、自分の仕事を改善していく
査を定期的に実施。リスクアセスメン
て経営陣に報告。さらに、トップから
必要があります。そこで情報セキュリ
ト結果や、教育、日常ルールなど、セ
の ISMS 方針を受け、翌年度の施策
ティ教育に力を入れ、全社員の意識
キュリティにおける強み・弱みを明確
を展開しています。
とスキルを高めています。
にし、監査結果に対して是正・改善す
社員は年に1 回実施する「情報セ
ることで、リスク低減とセキュリティレ
キュリティe ラーニング」
、守るべき
ベルの向上を図っています。また、
ルールを定めた「ISMS ハンドブック」
ISMS の専門教育を受けた監査員が
で学習しつつ、学習したことを浸透定
被監査組織と同じ目線に立ち、とも
着 さ せるために、 毎 月 第 1 週には
に考え、新たな“気づき”を発見・共
「CSR-Weekセルフチェック」で確認
有する場となるようにしています。
しています。
V O I C E
社内での情報セキュリティに関する取り組み事例
重要性を認識し、課題解決の実践により
社員の働く環境が劇的に改善
神奈川支社 湘南営業部 湘南ソリューショングループ
リーダー
佐伯 雄二
ISMS の実践により、社員の働く環境が劇的に改善し、モチベーションや仕事の
効率が向上しました。さらに会議に情報セキュリティの時間を常設。世間で起き
ているインシデント情報を共有し、セキュリティ商品の提案に役立てています。
また、お客様と課題を共有し解決するための ViCreA(LiveOffice のこと、詳細
は 41 ページ参照)では、私たちが働いているオフィスをご覧いただくため、クリ
アデスクなどの基本を徹底。お客様に「すばらしいオフィス」と評価いただき、
情報セキュリティeラーニング
実際の提案にもつながっています。
情報を取り扱う当事者の意識改革と
現場での営業活動につながる教育を実施
神奈川支社 湘南営業部 湘南営業所
所長
佐野峯 俊英
ISMS の実践により、
マネージャー層の情報資産の取り扱いに対する意識が向上。
営業などの現場でも実践的な教育を進めています。たとえば、お客様のセキュ
リティ対策の一助として、社内ルールを記載した「ISMS ハンドブック」と「IT イン
フラガイドブック」
については、常に携帯するように指導を徹底。情報セキュリティ
課題をお客様と共有し、良い提案に結びつけるために、日常的にセキュリティ上
の 10 大脅威やインシデントを例にして、営業担当者を教育しています。
ISMSハンドブック
RICOH JAPAN CSR report 2016
22
Fly UP