当社は次の情報セキュリティポリシーに基づき、情報セキュリティマネジメントシステムの継続的な改善を行っています。
情報セキュリティポリシー
-
当社は、システムエンジニアリング会社として、社会的信頼と評価を確立・維持するために、以下の基本方針に従い情報セキュリティ体制とシステムを構築し、維持する。
- 関連法規および契約上の要求事項を遵守する。
- 財産的情報の適正な保護と管理に努める。
- 情報セキュリティ関連の国際基準準拠を志向する。
- 当社は、情報セキュリティ体制とシステムを構築し維持するため、情報セキュリティプログラムを計画し、実施する。
- 当社は、情報セキュリティプログラムの円滑な推進を監視し、支援するため、情報セキュリティ委員会を設置し運営する。
代表取締役社長 羽田 雅一
情報セキュリティ管理体制(組織的安全管理措置)
- B-EN-Gグループ全体の管理推進組織=情報セキュリティ委員会
- 「情報セキュリティ委員会」は、情報セキュリティに影響を及ぼす活動の全社的な企画、決定、調整、管理を担います。情報セキュリティ委員会の委員長は担当取締役が務め、各部門より選任された委員と、法務および情報システム部門より任命された事務局から構成されています。委員会は定期的に開催されています。
- 安全管理措置の実施主体=各部門・プロジェクト・子会社
- 各部門の部門長は、担当部門の情報セキュリティに関する総合的責任と権限をもち、管理する財産的情報の特定、情報セキュリティ活動の計画・実施・点検・是正を実施しています。
個別プロジェクトのプロジェクトマネージャーは、担当プロジェクト固有の情報セキュリティに関する総合的責任と権限を持ちます。
- インシデント対応の専門部隊=B-EN-G CSIRT(シーサート)
- 高度化・複雑化するセキュリティインシデントに適時適切に対応する組織横断的なチームを編成しています。セキュリティ専門ベンダーや日本シーサート協議会など外部機関との連携も図っています。
- 社内ルールと運用状況の確認=内部監査
- 監査部門により、定期的に内部業務監査および個人情報保護に関する内部監査が行われています。
情報セキュリティ対策
- 人的安全管理措置
- 人的安全管理措置として、当社ルールに関する定期教育と確認書の提出を実施しています。 情報セキュリティ教育として、就業開始時と最低年1回の全般的な教育や、入社時研修やプロジェクトマネジメント研修などでの階層別の教育を行っています。攻撃メールなどのインシデント対応訓練も実施しています。
社員は就業規則の中で、協力会社社員は会社間での契約の中で、情報セキュリティに関する各種ルールの遵守、ならびに違反した場合の懲戒あるいは損害賠償を規定しています。社員および派遣社員については、就業終了後も含む機密保持に関する誓約書も取得しています。
- 物理的安全管理措置
- 物理的安全管理措置として、使用する施設のゾーニングと入室制限/記録の保存を実施しています。
執務エリアでは、当社従業者以外の入室を制限しています。サーバー室など特にセキュリティを強化するエリアでは、許可された者のみが入室できるようにしています。
災害対策として、必要に応じて、バックアップデータの遠隔地保管や、可用性の高いクラウドサービスの利用を進めています。
- 技術的安全管理措置
- 技術的安全管理措置として、情報インフラの安全対策実施、その安全性レベルの確認、およびアクセス状況の記録を実施しています。
ファイアウォールの設置、マルウェア対策、セキュリティパッチ適用、媒体や通信の暗号化、Webサイトへの接続制限、外部記録媒体の利用制限など、各種の対策を実施しています。
また、ネットワークの利用状況や各種ログの監視、点検を実施するほか、必要に応じて、ソフトウェアの脆弱性診断やネットワークのプラットフォーム診断を実施しています。
- 製品・サービスのセキュリティ品質向上への取り組み
-
お客様に提供する製品およびシステムサービスのセキュリティレベルを向上させるために、下記のような様々な活動を実施し改善を行っています。
- セキュリティ対策の技術的基準の策定
- ソフトウェア製品のセキュリティ対策状況調査と自社製品へのフィードバック
- Webアプリケーション型製品(SaaS型)の脆弱性診断の実施
クラウドサービス情報セキュリティ方針
当組織は、情報セキュリティへの取り組みのもと、ERP領域に重点を置いた事業をクラウドサービスにより展開しています。本方針は、クラウドサービスを通じて当社提供システムの利用者からの情報などを情報セキュリティ面から適切に取り扱うために定めます。
- 本クラウドサービス情報セキュリティ方針の対象
GLASIAOUS+
GLASIAOUS
- クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項
当社は、情報セキュリティ基本方針及び本方針をクラウドサービスに基づき、次をはじめとする利用者の情報セキュリティ要求を考慮したクラウドサービスの設計及び実装を行います。
- クラウドコンピューティング環境の隔離
当社のクラウドサービスは、クラウドサービスプロバイダにより提供される仮想化された環境等を利用し、テナント環境等を契約に応じて物理的または論理的に隔離して提供します。また、利用者データは利用契約ごとに論理的に隔離して提供します。
- お客様データへの当社運用担当者によるアクセス及び保護
利用規約、サービス仕様書等に定める場合を除いて、利用者の事前許可なく利用者が保存するクラウドサービス内の情報資産へのアクセスを行いません。
- 安全な認証手順の提供
クラウドサービスへの認証は、多要素認証等により強固な認証方式を提供します。
- クラウドコンピューティング環境の隔離
- クラウドサービスのリスク
当社は、クラウドサービスに対する情報セキュリティリスクアセスメントを定期に実施し、特定されたクラウドサービスに関わるリスクへの対策を講じます。
- 運用体制の確立
当社は、クラウドサービスの実務管理者等の運用体制を確立し、利用者データを適切に扱うための教育及び訓練を定期的に実施します。
- クラウドサービスに関わる通知
当社は、クラウドサービスの変更管理手順に則り、利用者に影響するサービス内容変更に関して、サービス画面上や個別の利用者への通知によってお知らせします。
- 情報共有
当社は、利用者の事前許可のもとに、利用規約、サービス仕様書等に定める範囲において、クラウドサービスに対する不正アクセス、情報漏えい等のインシデント対策として、違反の通知、並びに調査及びフォレンジック支援による情報共有を行います。
ビジネスエンジニアリング株式会社
常務取締役 中野敦士
制定日2023 年 8 月 1 日
【ISO/IEC 27001認証登録情報】
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格です。組織が情報セキュリティマネジメントシステムを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的とした認証です。
| 認証規格 | ISO/IEC 27001:2022 |
|---|---|
| 認証登録番号 | JUSE-IR-522 |
| 登録組織 | ビジネスエンジニアリング株式会社 プロダクト事業本部 商品開発本部 商品開発4部、開発技術部 クラウドビジネス推進本部 クラウド技術運用部 プロダクトサービス本部 テクニカルサービス部 |
| 初回登録日 | 2024年1月25日 |
| 認証登録範囲 | クラウド型ERPの開発・運用 |
| 審査機関 | 一般財団法人 日本科学技術連盟ISO審査登録センター |
【ISO/IEC 27017 認証登録情報】
ISO/IEC 27017は、ISMS(ISO/IEC 27001)認証取得を前提に、クラウドサービスの提供者とその利用者が、より安全なクラウド環境を構築し、セキュリティに関するリスクを軽減するための国際規格です。クラウドサービス固有の管理策が実施され、セキュリティ基準を満たしていることを認証するものです。
| 認証規格 | ISO/IEC 27017:2015 |
|---|---|
| 認証登録番号 | JUSE-IR-522-CS01 |
| 登録組織 | ビジネスエンジニアリング株式会社 プロダクト事業本部 商品開発本部 商品開発4部、開発技術部 クラウドビジネス推進本部 クラウド技術運用部 プロダクトサービス本部 テクニカルサービス部 |
| 初回登録日 | 2024年1月25日 |
| 認証登録範囲 | クラウド型ERP(GLASIAOUSおよびGLASIAOUS+)の開発・運用 |
| 審査機関 | 一般財団法人 日本科学技術連盟ISO審査登録センター |
| 開示情報 | クラウドセキュリティ方針 ホワイトペーパー |