情報セキュリティへの取り組み

当社は次の情報セキュリティポリシーに基づき、情報セキュリティマネジメントシステムの継続的な改善を行っています。

情報セキュリティポリシー

1 当社は、システムエンジニアリング会社として、社会的信頼と評価を確立・維持するために、以下の基本方針に従い情報セキュリティ体制とシステムを構築し、維持する。

1)関連法規および契約上の要求事項を遵守する。

2)財産的情報の適正な保護と管理に努める。

3)情報セキュリティ関連の国際基準準拠を志向する。

2 当社は、情報セキュリティ体制とシステムを構築し維持するため、情報セキュリティプログラムを計画し、実施する。

3 当社は、情報セキュリティプログラムの円滑な推進を監視し、支援するため、情報セキュリティ委員会を設置し運営する。

取締役社長 大澤 正典

情報セキュリティ管理体制(組織的安全管理措置)

B-EN-Gグループ全体の管理推進組織=情報セキュリティ委員会

「情報セキュリティ委員会」は、情報セキュリティに影響を及ぼす活動の全社的な企画、決定、調整、管理を担います。情報セキュリティ委員会の委員長は担当取締役が務め、各部門より選任された委員と、法務および情報システム部門より任命された事務局から構成されています。委員会は定期的に開催されています。


安全管理措置の実施主体=各部門・プロジェクト・子会社

各部門の部門長は、担当部門の情報セキュリティに関する総合的責任と権限をもち、管理する財産的情報の特定、情報セキュリティ活動の計画・実施・点検・是正を実施しています。
個別プロジェクトのプロジェクトマネージャーは、担当プロジェクト固有の情報セキュリティに関する総合的責任と権限を持ちます。


インシデント対応の専門部隊=B-EN-G CSIRT(シーサート)

高度化・複雑化するセキュリティインシデントに適時適切に対応する組織横断的なチームを編成しています。セキュリティ専門ベンダーや日本シーサート協議会など外部機関との連携も図っています。


社内ルールと運用状況の確認=内部監査

監査部門により、定期的に内部業務監査および個人情報保護に関する内部監査が行われています。


情報セキュリティ対策

人的安全管理措置

人的安全管理措置として、当社ルールに関する定期教育と確認書の提出を実施しています。 情報セキュリティ教育として、就業開始時と最低年1回の全般的な教育や、入社時研修やプロジェクトマネジメント研修などでの階層別の教育を行っています。攻撃メールなどのインシデント対応訓練も実施しています。
社員は就業規則の中で、協力会社社員は会社間での契約の中で、情報セキュリティに関する各種ルールの遵守、ならびに違反した場合の懲戒あるいは損害賠償を規定しています。社員および派遣社員については、就業終了後も含む機密保持に関する誓約書も取得しています。


物理的安全管理措置

物理的安全管理措置として、使用する施設のゾーニングと入室制限/記録の保存を実施しています。
執務エリアでは、当社従業者以外の入室を制限しています。サーバー室など特にセキュリティを強化するエリアでは、許可された者のみが入室できるようにしています。
災害対策として、必要に応じて、バックアップデータの遠隔地保管や、可用性の高いクラウドサービスの利用を進めています。


技術的安全管理措置

技術的安全管理措置として、情報インフラの安全対策実施、その安全性レベルの確認、およびアクセス状況の記録を実施しています。
ファイアウォールの設置、マルウェア対策、セキュリティパッチ適用、媒体や通信の暗号化、Webサイトへの接続制限、外部記録媒体の利用制限など、各種の対策を実施しています。
また、ネットワークの利用状況や各種ログの監視、点検を実施するほか、必要に応じて、ソフトウェアの脆弱性診断やネットワークのプラットフォーム診断を実施しています。


製品・サービスのセキュリティ品質向上への取り組み

お客様に提供する製品およびシステムサービスのセキュリティレベルを向上させるために、下記のような様々な活動を実施し改善を行っています。
(1) セキュリティ対策の技術的基準の策定
(2) ソフトウェア製品のセキュリティ対策状況調査と自社製品へのフィードバック
(3) Webアプリケーション型製品(SaaS型)の脆弱性診断の実施