資訊安全
政策
富士通集團將 ICT 視為核心業務。我們的企業願景是為創造安全、宜人的網路化社會盡一份力,我們致力確保和提高整個集團的資訊安全水準。
2016 年 4 月,我們制定富士通集團資訊安全政策(*1)以分享此願景並鼓勵每位員工採取行動。我們根據此政策實施資訊安全措施,並且在日本及海外的集團公司制定與資訊管理和 ICT 安全相關的內部規則。
- (*1)富士通集團資訊安全政策 (全球安全政策) 的全文
https://www.fujitsu.com/global/imagesgig5/InformationSecurityPolicy_en.pdf
經團聯 (日本經濟團體聯合會) 於 2018 年 3 月發表網路安全管理宣言。富士通集團支持經團聯的宣言,其與富士通網路安全宣言 (2016 年 11 月) 中所述的原則一致。
管理結構
鑒於近期網路攻擊增加,富士通集團在風險管理與法規遵循委員會的授權下任命資訊安全長 (CISO)(*2),以進一步加強集團的安全措施。此外,為了加強全球資訊安全治理,我們在世界各地任命地區 CISO。
(*2)富士通集團資訊安全長 (CISO) 致詞 (第 2 頁)
https://www.fujitsu.com/global/about/resources/reports/securityreport/
地區 CISO 向 CISO 報告各集團公司的安全團隊實施的資訊安全措施。CISO 定期向風險管理與法規遵循委員會報告資訊安全措施的狀態,並且在必要時進行其他報告。
安全控制
職能
為了加強資訊安全措施,富士通集團成立直屬於 CISO 的安全管理組織。安全管理組織履行以下職能以實施控制:安全管理、安全措施實施、監控、分析、評估、事件應變。
資訊管理訓練
為了防止資訊外洩,必須提高每個員工的安全意識和技能水準,而不是只向員工告知各種規則和規定。富士通集團為員工舉辦資訊管理訓練。我們每年為所有員工 (包括主管) 舉辦電子學習。我們也在訓練新員工和晉升員工時提供資訊安全教育。海外集團公司每年為員工舉辦資訊安全訓練。
我們也為資訊安全主管提供針對主管的特殊安全訓練。
安全措施
結合縱深防禦概念的三項重要措施
近年來的網路攻擊主要是針對性攻擊。這些攻擊的精密、多樣和複雜程度前所未見。再也無法使用單一類型的傳統安全措施實現全面防禦。
富士通集團資訊安全措施的基本概念結合縱深防禦。這是指透過多項措施實施多層保護,而不是透過單一措施尋求保護。縱深防禦有三個目標:1) 建立多層防禦牆以防範攻擊、2) 建立多層偵測功能以及早發現攻擊、3) 在發生滲透的情況下將損害最小化。
適當達成這些目標,即可防範攻擊並將損害最小化。
富士通集團實施以下三項優先內部資訊安全措施:1) 資訊管理,用於保護資訊、2) 網路安全,著重於保護系統抵禦網路攻擊的措施、3) 實體安全,防止擅闖辦公室、工廠等設施。
資訊管理
透過資訊保護管理制度來保護資訊
富士通及其國內集團公司在工作地點實施自主活動,以妥善保護第三方機密資訊和我們的機密資訊。其中包括建立適當的管理並採取行動以保護資訊。活動的目的是配合不同客戶的情況;例如,我們考量不同產業和業務類別的規則。我們也透過內部第三方組織進行稽核。我們以此方式建立資訊保護管理制度,以確認措施狀態並改善資訊保護。
保護個資
為了保護個資,富士通於 2007 年 8 月取得 JIPDEC 的 PrivacyMark(*3)。我們也不斷加強個資保護,包括關於個資處理的年度訓練與稽核。
國內集團公司也視需要取得 PrivacyMark 並實施完善的個資管理。以各國法律和社會要求為根據的隱私權政策發佈在海外集團公司的網站上。
- (*3)在符合 JIS Q 15001:2017 的個資管理制度下,適當處理個資的企業經營者獲授予PrivacyMark。
GDPR(*4)因應
富士通已建立全球個資保護結構並致力加強個資保護。在 CISO 組織和法務事業單位的指導下,我們與歐洲子公司等實體合作,制定與個人權利保護相關的準則和內部規則,以因應 GDPR。我們也為規則的制定、設計和初始設定設計檢查表。此外,我們已根據規則更新作業流程並舉行員工訓練。
為因應將個資傳輸至歐盟境外的規定,我們於 2017 年 12 月向荷蘭資料保護局 (DPA) 申請處理者約束性企業規則 (BCR-P),這是富士通集團制定的共同規則,與客戶委託集團處理的個資處理相關。
此外,歐洲委員會與日本互相承認彼此的資料保護法,於 2019 年 1 月 23 日生效,以提供適度的保護。在此認定的基礎上,富士通制定與在地區之間移動的個資處理相關的內部規則,並提高對這些規則的認識。
- (*4)一般資料保護規範 (GDPR):GDPR (要求公司、組織和團體保護個資的歐盟規範) 於 2018 年 5 月 25 日實施。其中包括將個資傳輸至歐洲經濟區外的規定以及在 72 小時內通報資料外洩的義務。
如需其他安全措施的詳細資訊,請參閱 2018 年富士通集團資訊安全報告 (第 8 至第 13 頁)
https://www.fujitsu.com/global/about/resources/reports/securityreport/
網路安全
富士通集團根據網路特性實施多層措施以防範網路攻擊。我們努力防範越來越精密、多樣且複雜的網路攻擊,結合閘道安全措施,包括防火牆和針對性攻擊措施;網路安全措施,例如未經授權存取偵測;以及端點安全措施,包括惡意軟體措施和安全性修補程式管理。
實體安全
富士通已建立實體安全環境,在三個層次上結合人員駐守與機械保全:地點、建築和樓層。此外,為了創造更先進的實體安全環境,我們在內部部署門禁系統並結合可防止身分盜用的靜脈驗證裝置。
資訊系統認證
富士通集團積極取得資訊安全措施的第三方評估和認證。
2019 年績效
資訊管理教育
- 全公司資訊管理電子學習教育 (針對富士通員工:35,400 人)
- 新任主管電子學習 (富士通):640 名主管
- 新員工初階教育和電子學習 (富士通):1,200 名新員工
如需富士通集團資訊安全的詳細資訊,請參閱以下 URL。
- 全公司資訊管理電子學習教育 (針對富士通員工:35,100 人):受訓員工:34,708 人 (99% 出席率)
https://www.fujitsu.com/global/about/resources/reports/securityreport/ - 網路安全
https://www.fujitsu.com/global/themes/security/