冲电气集团致力于开展社会责任(CSR)活动 信息安全
强化信息安全管理
信息安全体制
冲电气集团以“信息安全委员会”这一推进机制实施信息安全管理。原则上委员会每年召开2次会议,除决定有关信息安全的全公司方针、计划,每半年举行一次活动总结,每年举行一次信息安全监控结果总结外,公司内各部门、集团企业均指定事业开展推进责任人和事业开展推进人,以落实在各自信息安全委员会上确定的相关措施。
另外,冲电气也在不断完备相关制度和业务规范。在把客户提供的数据和公司内部加工的数据等定义为秘密信息之上,完全按照数据获得、作成直至废弃的业务流程,完备章程类、实施细则和指导方针。
信息安全体制
信息安全相关制度、业务规范
实施信息安全培训
冲电气集团为彻底贯彻信息安全管理,利用集团内部的基础信息设施面向所有员工实施信息安全培训。为保证公司暂时保管的客户信息资产,及公司高度机密信息资产的安全,公司全员人人有责。冲电气集团通过集中培训和网络远程教育强化员工保护意识,让所有员工了解掌握使用网络、职场内部电脑、笔记本电脑等时必须遵守的基本事项和公司内部制度。
2011年度,公司通过网络远程教育向全体员工实施了信息安全教育,听讲率基本达到100%。
商业伙伴安全措施落实的“可视化”
冲电气自2008年度起持续实施以提高整体供应链中的信息安全等级为目标,对提供给重要机密信息的商业伙伴进行信息安全措施实施状况的确认。具体内容为让商业伙伴按照冲电气制作的检查表进行自我检查,冲电气对回答结果进行评分,以此达到共享实施状况和课题的目的。
据2011年度的检查结果,达到冲电气“高评价”标准的商业伙伴所占比例较上年度同比增长了9个百分比。另外,除采取密码更新等技术措施外,对机密信息管理意识相关项目的改进也十分显著,各项措施已在商业伙伴中切实实施。
通过OKI-CSIRT强化安全事故的应对能力
冲电气于2008年9月设立了专门应对安全事故的机构OKI-CSIRT(注1),以此来强化计算机安全事故的预防措施以及事故发生时的应对能力。OKI-CSIRT不仅为冲电气集团内部提供每月的计算机病毒相关报告并给予技术帮助,而且通过加盟日本计算机安全事件响应小组协会(NCA)等,与公司外部组织协作,以实现迅速共享信息与解决课题。
2011年度,在应对不断增多的服务器攻击方面,冲电气加强了与NCA以及其他公司的CSIRT、相关政府部门的协作。具体表现为,获取目标型邮件(注2)相关信息,随时实施目标型邮件的拦截并截断信息泄露途径。
中国集团各公司实施信息安全措施
冲电气集团于2008年度开始在中国集团各公司推广实施信息安全措施。考虑到中国和日本的IT环境不同,冲电气采用了适合解决在中国发生的计算机病毒的措施。通过不断完善当地的咨询台体系,加强计算机病毒感染时提供的帮助,提高了病毒查杀率。
2011年度主要致力于稳固上年度开始实行的笔记本电脑措施。与日本国内一样,采用HDD加密以防止笔记本电脑被盗或丢失时信息泄露,同时在被批准用作携带的笔记本电脑设备上贴许可标签。
推进ISMS认证
冲电气集团为提高系统构建和相关服务的可信度,积极鼓励公司内部信息构筑运用部门、系统设计开发等部门获取信息安全管理系统(ISMS(注3) )的认证。至2012年6月,冲电气集团的5个公司7个部门已获得了ISMS认证。
冲电气集团ISMS认证取得状况(2012年6月末为止)
| 公司和部门名称 | 首次注册日 |
|---|---|
| 日本商务运营株式会社(运用部、监查指导部) | 2004年1月30日 |
| 冲咨询解决方案株式会社 | 2006年9月20日 |
| 冲软件株式会社 | 2007年12月21日 |
| 冲电气技术服务株式会社 | 2004年1月31日 |
| 冲电气工业株式会社(冲电气系统中心) | 2003年8月4日 |
| 冲电气工业株式会社 (政府机关营业本部、一般企业营业本部、信息系统事业部、公共设施事业本部(各芝浦地区)) |
2004年12月27日 |
| 冲电气工业株式会社(信息企划部) | 2003年2月14日 |