ホーム > セキュリティ体制

セキュリティ体制

Security

ISMS(情報セキュリティマネジメントシステム)基本方針

ロジテックのデータ復旧技術センターでは、お客様の大切な情報資産をより安全に、より多く救出できるよう日々技術を研き、お客様を取り巻くデジタル社会に貢献する事を事業理念としています。メーカーとして信頼されるサービスを提供するため、情報セキュリティを事業上の最重要課題と位置付け情報セキュリティマネジメントシステム(ISMS)を確立・運用し継続的に改善しています。
情報セキュリティマネジメントシステム(ISMS)
方針1
情報セキュリティの定義と目的
お客様からお預かりした情報資産を漏洩、不正使用、改ざん、などの脅威から保護することを目的として取り組みます。
方針2
法令及び規範の遵守
情報セキュリティに関する法令およびその他の規範を遵守します。
方針3
リスク評価の確立
お客様からお預かりした情報資産及び当社の事業に関連する情報セキュリティリスクのアセスメント手順を確立し、事業方針に基づいてリスク対応の優先順位を決定し、リスクへ適切に対応します。
方針4
教育・訓練の実施
ISMSに適合することの重要性及び利点を十分に認識し、方針・手順に従ったセキュリティの運用を確実なものとするために、従業員に対する教育・訓練を継続的に実施します。
方針5
事故対策と予防処置
情報セキュリティ事故を未然に防ぐために必要な予防措置を実践するとともに、万一の事故発生時には原因究明、対策を迅速に実施し、影響が最小限になるように努めます。
方針6
罰則
情報セキュリティの違反を犯した場合、社内規定等の懲戒手続を適用されるものとします。
LRQA(ロイド レジスター クオリティー アシュアランス リミテッド)認定証
認定機関:
LRQA(ロイド レジスター クオリティー アシュアランス リミテッド)
URL       :
http://www.lrqa.or.jp/
初回登録:
2008年9月22日
登録番号:
YKA 4004243/J

ISMSのPDCAサイクル

ロジテックデータ復旧技術センターでは、お客様の情報資産をお預かりする上で安心してご依頼を頂ける環境を構築するため、情報セキュリティの確立を事業上の最重要課題として捉え「情報セキュリティマネジメントシステム」を導入し、継続的な運用を行っております。
また、より付加価値の高いデータ復旧サービスをお客様へご提供すると同時に、情報セキュリティの管理策の有効性評価を経て、認証範囲をこえて社内に水平展開することで全社のセキュリティ向上に努めています。
【利害関係者】お客様(外部)+会社(内部)要求事項INPUT→A.ISMSの改善 Act(改善)→P.ISMSの確立 Plan(計画)→D.ISMSの運用 Do(実行)→ISMSの監査 Check(点検)→A→譲歩セキュリティの向上 【利害関係者】お客様(外部)+会社(内部)機密性 可用性 完全性OUTPUT→【内部・外部の情報資産へ】弊社を取り巻く内外からの情報セキュリティに関する要求事項(お客様要求事項、社会的な要求事項、社内要求事項)に対し、情報セキュリティの3要素の観点から評価してセキュリティを継続的に維持・管理することで情報資産を護ります。

ISMSの運営体制・セキュリティインシデントへの対応

運営体制
最高経営層(担当取締役)― 内部監査 ―ISMS推進チーム(データ復旧技術センター長、ISMS管理責任者、情報セキュリティ推進担当、情報システム課マネージャー、管理課)―データ復旧技術センター
情報セキュリティインシデントへの対応
情報資産の安全に影響を及ぼす場合がある様々な形態の事象及び弱点について発見した場合、 報告された情報セキュリティ事象及び情報セキュリティに関する弱点について、「情報セキュリティインシデント報告書」に記録し、必要な対策を検討し、実施しています。
ワークフローによる管理で迅速な対策・記録
情報セキュリティインシデントへの対応 <事象及び弱点の例>1.情報システムの不具合及びサービスの停止 2.悪意のあるコード 3.サービス妨害 4.不完全又は不正確な業務データに起因する誤り 5.機密性及び完全性の侵害 6.情報システムの誤用 7.情報セキュリティールールへの違反 8.その他情報セキュリティに関する弱点・ぜい弱性を示す事象

リスクアセスメントの定期実施

ロジテックデータ復旧技術センターは、個人情報を含むISMS適用範囲における情報資産を特定し、その資産に関連するリスクの洗い出しを定期的に行います。
これら洗い出されたリスクに対して事前にその影響を調査して、調査結果に応じた適切な管理策を採用しています。
このサイクルを回すことで、変化するリスクに対して柔軟かつ迅速に対応をしています。
リスクアセスメントの定期実施サイクル 資産の特定・評価→リスクの特定・評価 事前影響調査(脅威の識別・評価 脆弱性の識別・評価 Etc.)→調査結果に基づく適切な管理策→管理策の有効性評価(4回/年)→資産の特定・評価...→変化するリスクへ柔軟・迅速に対応 + Logitec:データ復旧センター カスタム・コントローラ・サービス(業務用PC/STB/システム導入支援) カスタムPC製品 LCDモニター製品 ネットワーク製品 HDD/ストレージ製品 地デジ・ワンセグ・ラジオ製品 Bluetooth製品 iPod/Walkman関連製品 ネットワーク端末製品 FMトランスミッター製品 ボイスレコーダー製品 ELECOM:ファニチャー AVデジタル PCサプライ ケーブル IOデバイス メモリ → 教育・訓練→有効性評価→有効性評価の認定→教育・訓練... 情報セキュリティの有効性評価が認定される管理策は、社内教育の場を活用し横展開を行うことで全社のセキュリティのボトムアップを行っています。

管理体制の一例

全行程
全工程
サービス工程管理
データ復旧サービスは、下記管理・環境の概要及び業務フローマニュアルにより一元管理されています。
また、各工程区画毎に工程名表示(看板)を行い、見通しのよいフロアーにて視覚的・聴覚的にインシデントの早期発見に取り組んでいます。
【案件管理】
一意の受付番号(基幹システム自動発行)
受付番号のラベリング(受付物品全てに受付番号のラベル貼付)
現品票(全工程チェックシート)
ストッカーによる案件毎の管理(案件混在を防ぐボックス)
※現品票とストッカー(物品)は全て対となり各工程を通過します。
【作業環境】
サービスは全てセキュリティルーム内で完結
工程毎の区画整備
コールセンター/技術センターのクリアデスク
技術担当制
専用解析装置はスタンドアロンの環境で動作
案件と専用解析装置は常時1対1
案件からのウィルス感染防止策
※セキュリティソフト、Read Only Memory化によるシステムプロテクト等
1. 着荷・受付
1. 着荷・受付
サービス工程管理
1.物品受取
各配送業者は、専用窓口で受付担当の呼び出しを行い手渡しで物品の引渡しを行います。
2.開梱〜受付(基幹システムへ登録)
1案件毎に開梱を行い物品の確認
※障害媒体、付属品、専用依頼書、その他
※梱包材を含む内容物全てに受付番号のラベル貼付
3.現品票発行
※左図の赤枠には、「2」の登録情報が出力
※コールセンターで受けた重要事項は「連絡事項」の欄に出力され技術担当者へエスカレーション
4.着荷連絡
登録情報を基に、受付番号と受取品の内容等を記載の上、お客様へ着荷連絡のメール送信
5.現品票へ日付・担当印の押印
受付担当により作業のチェック・記録
6.「初期調査前」の専用棚に保管
受付された案件は区画された専用棚に保管され、技術担当者へエスカレーションされます。
2.解析開始
2.解析開始
サービス工程管理
1.簡易物品チェック
受付された障害媒体のベリファイ実施
2.「解析開始欄」に日付・担当印の押印
技術担当により作業のチェック・記録
3.調査作業工程による設備占有率と人的工数管理
※1対1で障害媒体より残存している磁気情報をイメージファイルに変換します。イメージファイル単体では可視化できません。

※論理・物理解析の作業ログの記録、論理構造の計算等の記録(裏面)も技術共有のドキュメントとして管理さ れます。
3.調査報告
3.調査報告
サービス工程管理
1.調査報告書・見積書・データリストの作成
※受付番号を基に調査作業記録から各種帳票を基幹システム上で作成・発行します。
2.各種帳票の承認
ワークフローにより技術担当により発行された各種帳票(電子データ)の承認処理を行います。
※改ざん防止対象の帳票はセキュアPDFデータを活用
3.各種帳票の提出
ワークフローによって承認された各種帳票を電子メールを使用して送信
※中継・監視サーバによる電子メールの保護
※メール誤送信防止のためのシステムはリスク対応計画に盛り込み、検討を進めています。
4.「調査報告」欄に日付・担当印の押印
技術担当により作業のチェック・記録
5.「調査完了受注待」棚へ技術担当毎保管
4.顧客回答
4.顧客回答
サービス工程管理
1.回答書の受領
お客様の回答をコールセンターにて受注専用FAXで受信。
回答内容をチェックし、回答日の記録及び日付・担当印を押印して技術者へエスカレーション
2.「顧客回答」欄に日付・担当印の押印
コールセンター担当により作業のチェック・記録され、技術担当へエスカレーション
5.復旧・取止
5.復旧・取止
サービス工程管理
1.回答書(内容)のベリファイ
前工程からのエスカレーション内容を受付番号をキーにベリファイ実施
2.復旧・取り止め
取得済みのイメージファイルをファイル変換し、ファイル変換前後のベリファイ実施
※データ納品用製品の読み込み・書き込みテスト実施
※ウィルスチェック
3.「復旧or取止」欄に日付・担当印の押印
案件の技術担当者により作業のチェック・記録
4.「出荷待ち」棚へ保管
出荷担当へエスカレーション
6.発送・修理
6.発送・修理
サービス工程管理
1.出荷準備
前工程からエスカレーションされた案件を受付番号をキーにベリファイ実施。(左図赤枠の再チェック)
(1)返却先指示のチェック
(2)送状作成及び配送先の最終チェック
2.梱包作業
出荷工程の区画にて1案件毎に作業。梱包済みの製品には送状が貼付され、出荷トレーに準備されます。
3.出荷
配送業者(出荷対応は1社のみ)から連絡を受け、手渡しにて物品の引渡しを行います。
※弊社修理センター転送案件は別フローにて対応
※出荷完了のメール送信(荷物の追跡ができるように、ワンクリックで配達状況が確認できるURLも記載されます)
4.「発送or修理」欄に日付・担当印の押印
出荷担当者により作業のチェック・記録
5.納品データ(イメージファイル)のバックアップ保管
セキュリティルーム内のバックアップ保管棚にて管理
7.情報消去
7.情報消去
サービス工程管理
1.イメージファイルの一時保管
出荷済みの案件のイメージファイルは、セキュリティルーム内のバックアップ保管棚に5日間保管されます。保管期間経過後は、専用消去装置を使用して順じ消去作業が実施されます。
2.「情報消去」欄に日付・担当印の押印
技術担当により作業のチェック・記録

その他管理体制

 
入出庫管理体制
  • 手渡しによる物品の受け渡し
    ※運送業者及びお引取のお客様
入出庫管理体制
セキュリティルーム内の行動監視体制
  • ネットワークカメラによる行動監視体制
  • コールセンターと技術センターの分離
  • コールセンターと技術センターの
    ネットワーク環境を切り離し
  • 専用セキュアルータによるネットワーク保護
セキュリティルーム内の行動監視体制
セキュリティルーム(入出ログの取得・管理)
  • 出入口を1つに設計(非常口別)
  • 入出ログの取得・管理
  • 赤外線センサーの設置
  • 社内関係者も入出権限を制限
  • メンバーは全て誓約を結んだ社員のみ
  • サービスはセキュリティルーム内で完結
セキュリティルーム(入出ログの取得・管理)
お客様の受け入れ体制
  • 専用窓口とインターホンの設置
  • 障害媒体のお持ち込み時には、
    専用フロアーをご用意
    (作業環境との切り離し)
お客様の受け入れ体制
工程管理体制
  • 受付番号による工程一元管理
  • 専用ストッカーにより案件毎の管理
  • 入庫、受付、復旧、出荷(バックアップの
    削除)までの作業ログを記録
  • 各種記録されたログや映像データは
    別のセキュアルーム内の基幹システムに集約
工程管理体制