Informationssicherheit
Richtlinien
Die Fujitsu Gruppe betrachtet IKT als ihr Kerngeschäft. Unsere Unternehmensvision besteht darin, zu einer sicheren, angenehmen und vernetzten Gesellschaft beizutragen, und wir arbeiten daran, das Maß der Informationssicherheit in der gesamten Unternehmensgruppe sicherzustellen und zu verbessern.
Im April 2016 haben wir die Fujitsu Group Information Security Policy(*1) eingeführt, um diese Vision zu verbreiten und jede Mitarbeiterin und jeden Mitarbeiter zu entsprechendem Handeln anzuregen. Auf Grundlage dieser Richtlinie setzen wir Maßnahmen zur Informationssicherheit um und legen interne Regeln fest, die mit dem Informationsmanagement und der IKT-Sicherheit von Unternehmen der Gruppe in Japan und Übersee in Verbindung stehen.
- (*1)Kompletter Text der Fujitsu Group Information Security Policy (Global Security Policy)
https://www.fujitsu.com/global/imagesgig5/InformationSecurityPolicy_en.pdf
KEIDANREN, auch bekannt als Japan Business Federation, der wichtigste japanische Wirtschaftverband, gab im März 2018 seine Declaration of Cyber Security Management bekannt. Die Fujitsu Gruppe unterstützt diese Deklaration von KEIDANREN, da sie mit den in der Fujitsu Cyber Security Declaration (November 2016) dargelegten Prinzipien im Einklang steht.
Managementstruktur
Angesichts der jüngsten Zunahme von Cyber-Angriffen hat die Fujitsu Gruppe einen Chief Information Security Officer (CISO) ernannt, der dem Risk Management and Compliance Committee(*2) untersteht, um die Sicherheitsmaßnahmen in der Gruppe weiter zu stärken. Außerdem haben wir rund um den Globus Regional CISOs ernannt, um unsere Global Information Security Governance auszuweiten.
(*2)Mitteilung vom Fujitsu Group Chief Information Security Officer (CISO) (Seite 2)
https://www.fujitsu.com/global/about/resources/reports/securityreport/
Regional CISOs berichten dem CISO über Maßnahmen der Informationssicherheit, die von den Sicherheitsteams jedes Unternehmens der Gruppe umgesetzt wurden. Der CISO berichtet dem Risk Management and Compliance Committee regelmäßig über den Stand der Informationssicherheitsmaßnahmen und verfasst zusätzliche Berichte, wann immer nötig.
Sicherheitsmechanismen
Funktionen
Um die Maßnahmen der Informationssicherheit zu stärken, hat die Fujitsu Gruppe eine Security Management Organization gegründet, die dem CISO direkt untersteht. Die Security Management Organization setzt Kontrollmaßnahmen um, indem sie folgende Aufgaben erfüllt: Sicherheitsmanagement, Umsetzung von Sicherheitsmaßnahmen, Überwachung, Analyse und Bewertung sowie Störfall- und Reaktionsmanagement.
Schulungen zum Informationsmanagement
E-Learning
Um eine Offenlegung von Informationen zu verhindern, ist es wichtig, das Sicherheitsbewusstsein und den Kenntnisstand jeder einzelnen Mitarbeiterin und jedes einzelnen Mitarbeiters zu erweitern, anstatt diese einfach nur über die verschiedenen Regeln und Bestimmungen zu informieren. Die Fujitsu Gruppe bietet Mitarbeiterschulungen zum Informationsmanagement an. Vor allem E-Learnings führen wir jedes Jahr für alle Beschäftigten (einschließlich Führungskräften) durch. Zudem bieten wir ein Informationssicherheitstraining während der Schulung für neue Mitarbeiterinnen und Mitarbeiter und solche, die befördert wurden. In den Überseeunternehmen der Gruppe halten wir jedes Jahr Informationssicherheitsschulungen für die Belegschaft ab.
Information Security Managern bieten wir spezielle Sicherheitsschulungen für Manager an.
Sicherheitsmaßnahmen
Drei wichtige Maßnahmen, die das Konzept der Defense-in-Depth berücksichtigen
Die Cyber-Angriffe der letzten Jahre sind Paradebeispiele für gezielte Angriffe. Sie besitzen einen bis dato unbekannten Grad an Raffinesse, Vielfältigkeit und Komplexität. Es ist nicht länger möglich, durch Verwendung einzelner Arten konventioneller Sicherheitseinrichtungen einen umfassenden Schutz zu erreichen.
Das grundlegende Maßnahmenkonzept zur Informationssicherheit in der Fujitsu Gruppe beinhaltet Defense-in-Depth. Diese bezieht sich auf die Implementierung eines mehrschichtigen Schutzes über multiple Maßnahmen, anstatt Schutz in einer einzigen Maßnahme zu suchen. Defense-in-Depth verfolgt drei Ziele: 1) Angriffe durch Einrichten einer mehrschichtigen Verteidigung zu verhindern, 2) Angriffe durch Einrichten einer mehrschichtigen Erkennung frühzeitig zu erkennen und 3) Schäden im Falle einer Infiltration zu minimieren.
Die adäquate Umsetzung dieser Ziele ermöglicht es, Angriffe zu verhindern und Schäden zu minimieren.
Die Fujitsu Gruppe setzt die folgenden drei vorrangigen, internen Informationssicherheitsmaßnahmen um: 1) Informationsmanagement zum Schutz von Informationen, 2) Cyber-Sicherheit, die sich auf Maßnahmen zum Schutz von Systemen vor Cyber-Angriffen konzentriert und 3) physische Sicherheit, die unbefugten Zugang zu Einrichtungen wie Büros und Fabriken verhindert.
Informationsmanagement
Schutz von Informationen durch Informationssicherheits-Managementsysteme
Fujitsu und die inländischen Unternehmen der Gruppe setzen Maßnahmen am Arbeitsplatz autonom um, um vertrauliche Informationen dritter Parteien und unsere eigenen vertraulichen Informationen angemessen zu schützen. Insbesondere beinhaltet dies die Etablierung eines geeigneten Managements und die Ergreifung von Maßnahmen zum Schutz von Informationen. Die Maßnahmen sind auf die Situation der verschiedenen Kunden abgestimmt. So berücksichtigen wir beispielsweise Regeln für verschiedene Branchen und Unternehmenskategorien. Zudem führen wir Audits durch interne Stellen und Drittanbieter durch. Auf diese Weise bauen wir Informationssicherheits-Managementsysteme auf, um den Fortschritt von Initiativen zu verfolgen und den Schutz von Informationen zu verbessern.
Schutz personenbezogener Daten
Im Rahmen der Bemühungen, personenbezogene Daten zu schützen, hat Fujitsu im August 2007 PrivacyMark(*3) von JIPDEC übernommen. Darüber hinaus arbeiten wir daran, den Schutz unserer personenbezogenen Informationen durch jährliche Schulungen und Audits zur Handhabung persönlicher Daten fortwährend zu verbessern.
Inländische Unternehmen der Gruppe erhalten bei Bedarf auch das PrivacyMark-Zertifikat und implementieren ein umfassendes Personal Information Management (PIM). Datenschutzrichtlinien, die auf Gesetzen und gesellschaftlichen Anforderungen jedes Landes basieren, werden auf den Websites der Überseeunternehmen der Gruppe veröffentlicht.
- (*3)Das PrivacyMark-Zertifikat wird Unternehmen erteilt, die personenbezogene Daten auf angemessene Weise mit PIM-Systemen handhaben, die JIS Q 15001:2017 erfüllen.
Reaktion auf die DSGVO(*4)
Fujitsu hat ein globales Rahmenwerk zum Schutz personenbezogener Informationen aufgebaut und arbeitet daran, den Schutz personenbezogener Daten weiter zu stärken. Unter der Leitung der CISO Organization und juristischen Geschäftseinheiten haben wir mit Entitäten zusammengearbeitet, wie unseren europäischen Zweigniederlassungen, um Richtlinien und interne Regeln zu entwickeln, die sich auf den Schutz der Individualrechte als Reaktion auf die DSGVO beziehen. Zudem haben wir Checklisten für die Formulierung, Gestaltung und erste Festlegung von Regeln entwickelt. Und wir haben die Betriebsprozesse mit den Regeln aktualisiert und Mitarbeiterschulungen durchgeführt.
Als Reaktion auf die Richtlinien zur Übermittlung personenbezogener Daten außerhalb der EU haben wir bei der niederländischen Datenschutzbehörde (DPA) im Dezember 2017 unsere Binding Corporate Rules for Processors (BCR-P) beantragt. Dabei handelt es sich um allgemeine, in der gesamten Fujitsu Gruppe eingeführte Regeln zur Handhabung personenbezogener Daten, die der Unternehmensgruppe von Kunden zur Verarbeitung anvertraut wurden.
Außerdem haben die Europäische Kommission und Japan die jeweiligen Datenschutzgesetze des anderen anerkannt. Diese Anerkennung trat am 23. Januar 2019 in Kraft, um ein angemessenes Maß an Schutz zu gewährleisten. Auf Grundlage dieser Anerkennung hat Fujitsu interne Regeln eingeführt, die sich auf die Handhabung personenbezogener Daten beziehen, die zwischen verschiedenen Regionen übermittelt werden, und umfassend auf diese Regeln aufmerksam gemacht.
- (*4)Datenschutz-Grundverordnung (DSGVO) Die DSGVO (EU-weite Verordnung, nach der Unternehmen, Organisationen und Gruppen personenbezogene Daten zu schützen haben) trat am 25. Mai 2018 in Kraft. Sie beinhaltet Regeln zur Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum heraus sowie die Verpflichtung, Datenlecks innerhalb von 72 Stunden zu melden.
Wenn Sie Einzelheiten zu anderen Sicherheitsmaßnahmen suchen, lesen Sie bitte den Fujitsu Group Information Security Report 2018 (Seite 8 bis 13).
https://www.fujitsu.com/global/about/resources/reports/securityreport/
Cyber-Sicherheit
Die Fujitsu Gruppe implementiert separate Maßnahmen auf mehreren Ebenen auf Basis von Netzwerkcharakteristiken, um sich auf Cyber-Angriffe vorzubereiten. Wir arbeiten an dem Schutz vor zunehmend ausgeklügelten, vielfältigen und komplexen Cyber-Angriffen, indem wir Gateway-Sicherheitsmaßnahmen, einschließlich Firewalls und Maßnahmen gegen gezielte Angriffe, Netzwerk-Sicherheitsmaßnahmen, wie die Erkennung von unberechtigten Zugriffen, und Endpunkt-Sicherheitsmaßnahmen, einschließlich Maßnahmen gegen Malware und Sicherheitspatch-Management kombinieren.
Physische Sicherheit
Fujitsu hat eine physische Sicherheitsumgebung aufgebaut, die bemannte Wachdienste und mechanischen Schutz auf drei Ebenen kombiniert: Standorte, Gebäude und Etagen. Außerdem setzen wir intern Sicherheitsschleusen in Kombination mit einem Venen-Authentifizierungsgerät ein, das Identitätsdiebstahl verhindern kann, um eine noch anspruchsvollere physische Sicherheitsumgebung zu erschaffen.
Zertifizierung von Informationssystemen
Die Fujitsu Gruppe engagiert sich aktiv, um für ihre Initiativen zur Informationssicherheit Bewertungen und Zertifizierungen von Dritten zu erlangen.
Performance im GJ 2019
Schulungen zum Informationsmanagement
- Unternehmensweite E-Learning-Schulung zum Informationsmanagement (angesprochene Fujitsu Beschäftigte: 35.400)
- E-Learning für neu ernannte Managerinnen und Manager (Fujitsu): 640 ManagerInnen
- Einführungsschulung und E-Learning für Neueingestellte (Fujitsu): 1.200 Neueingestellte
Detaillierte Informationen zur Informationssicherheit in der Fujitsu Gruppe finden Sie über die folgenden URLs.
- Unternehmensweite E-Learning-Schulung zum Informationsmanagement (angesprochene Fujitsu Beschäftigte: 35.100): Geschulte Beschäftigte: 34.708 (Teilnahmequote 99 %)
https://www.fujitsu.com/global/about/resources/reports/securityreport/ - Cyber-Sicherheit
https://www.fujitsu.com/global/themes/security/
