情報通信セキュリティのリスクマネジメント体制

当社の情報セキュリティの担当部署は情報チームを編成し、会社の情報セキュリティポリシーの策定、情報セキュリティ対策の計画に責任を負うほか、関連の情報セキュリティ業務を実施し、その実施状況を定期的に取締役会に報告します。

当社の監査室は情報セキュリティを監督およびチェックする部門で構成され、コンピュータのOSで制御(情報通信セキュリティのチェックを含む)およびチェックを行います。社内の情報セキュリティリスクを低減するため、改善状況と成果を定期的に追跡します。

WIN情報セキュリティリスク管理フレームワーク図

情報通信セキュリティのポリシーと具体的な管理計画

情報通信セキュリティ管理を強化して情報の機密性、可用性、完全性を確保し、社内外の意図的または偶発的な脅威による営業または経営ができなくなったり、情報が改ざん、盗難、破壊されたりするのを回避します。関連の管理方法の要点は以下のとおりです:

情報通信の教育
新入社員へ情報通信セキュリティ管理に関する教育訓練を実施します。
設備のセキュリティとアカウント管理
設備機械室では温度制御、異常警報、無停電電源システムなどの安全管理措置のほか、地震、火災など不可抗力発生時の緊急対策も考慮する必要があります。
社員のアカウント名は作成ルールに従って作成します。社員のアカウントとパスワードはシステムの複雑性に従うものとし、パスワードは定期的に変更します。情報部の担当者は、会社が貸与する社員用のコンピュータにOS、ソフトウェア、ウイルス対策ソフトウェア、セキュリティソフトウェアなどをインストールするほか、コンピュータ周辺機器の管理と記録を行います。
ウイルス対策とセキュリティアップデート
新竹市東区公道五路2段180号4階においてコンピュータ機器すべてにウイルス対策ソフトウェアをインストールし、最新のウイルスパターンファイルを取得します。ネットワーク制御を強化するほか、企業向けのファイアウォールを導入し、ハッカーによる不正アクセスを防ぎます。定期的に情報セキュリティ監査を行い、双方の情報セキュリティにおいて高い基準を満たします。
系統開発、データセキュリティ及びネットワークアクセスの安全な制御
システム開発ではソースプログラムをバックアップし、ソースコードには専任の開発担当者またはシステム管理者のみがアクセスできるものとします。また、開発およびテスト用のステージング環境を提供します。当社の社員以外は当社が社員に貸与するコンピュータや設備、アカウントやパスワードを使用できないものとします。会社が貸与するコンピュータや設備は、申請が承認されると会社のネットワークに接続できるようになり、必要なサービスのみが提供されます。(メール、ファイル、インターネットなど)
ソフトウェアの使用
許可されていないソフトウェアの使用は禁止とします。社内の社員用コンピュータで使用するソフトウェアはすべて情報部がインストールします。なお、デフォルトのソフトウェアは業務内容よって異なります。
情報通信セキュリティの緊急対策
情報部はインシデントの原因と種類に応じて5つのレベルに分類し、それぞれの報告プロセスに従って取り扱います。

情報通信セキュリティの管理

ネットワークセキュリティメンテナンスのアイコン

ネットワークハードウェア

ファイアウォール、迷惑メールフィルター、メール監査バックアップ装置、NAS、テープバックアップシステムなど。

コンピューターソフトウェアの保守アイコン

ソフトウェアシステム

ウイルス対策ソフトウェア、バックアップ管理ソフトウェアなど。

通常のメンテナンスアイコン

定期的なメンテナンスSOP

毎日各システムの状態を検査。毎日および週1回バックアップおよびバックアップメディアのオフサイト保管。毎年システム災害復旧訓練を実施。定期的に情報セキュリティの普及、教育コース、情報セキュリティの訓練、情報セキュリティ対策の計画と実施を行い、毎年インテリジェンス・サイクルの内部監査、会計監査などを実施します。