RWSのセキュリティ

RWSは、お客様にとって情報セキュリティが重要であることを理解しています。グローバルな組織である当社は、米国国立標準技術研究所(NIST)発行のCybersecurity Framework(CSF:サイバーセキュリティフレームワーク)を採用し、自社の情報セキュリティ管理システム(ISMS)の構造としています。 

広く認知され、業界でも認められているこのフレームワークを使用して、医療情報トラストアライアンス(HITRUST)への準拠など、お客様固有の要件に対応するための堅牢なベースラインとしています。こうしたアプローチにより、当社は多くの製品やサービスのISO 27001:2013認定を取得し、人、プロセス、テクノロジーをサポートしています。詳細は、当社の最新のISO 27001認定書でご覧いただけます。 

このページには、製品毎のセキュリティ関連ドキュメントに加えて、当社の高度な情報セキュリティポリシーの一部を掲載しています。情報セキュリティに関するご質問については、当社までお問い合わせください。

FAQ

RWSの調達プロセスでは、新しいサプライヤはオンボーディングの前にセキュリティリスク評価を受ける必要があります。サプライヤには、提供する商品/サービスの重要性およびアクセスする情報や施設の機密性など、多くの基準に従ってリスクカテゴリが割り当てられます。

RWS

はい。RWSのグローバルベンダーセキュリティ管理ポリシーでは、サードパーティのサプライヤのセキュリティ要件を規定しています。

IT

RWSは、公共インフラストラクチャの脆弱性スキャンを毎月実施しています。脆弱性に対してはリスク評価が行われ、グローバルセキュリティテストポリシーに従って適切な緩和策が適用されます。情報セキュリティチームのメンバーは、グローバルIT変更諮問委員会に所属し、提案された変更によるセキュリティへの影響を評価します。

「RWSのグローバルセキュアソフトウェア開発ライフサイクルポリシーでは、製品の安全な開発方法を規定しています。セキュリティは、要件の収集、設計、実装、検証、リリースの各開発ステップの一部として組み込まれています。変更はリリース前にテストされます」

使

はい。RWSはService CentreとServiceNowの両方を使用して、チケットの発行から割り当てや解決までのワークフローを管理しています。SLAは、インシデント/変更または問題の重要度に応じて設定されます。

RWS

はい。RWSにはITセキュリティに関する規定と利用規定があります。

RWSは、サービスの実施に必要な場合、また契約で合意された場合にかぎり、顧客データを保持します。

はい。RWSは専任のソフトウェアおよび資産管理(SAM)チームを設置するとともに、RWSネットワーク上でLansweeperおよびFlexeraという資産ツールを使用しています。Lansweeperは、所有者、資産タイプ、インストール済みのソフトウェア、保証、構成の詳細情報など、RWSの企業ネットワーク上の項目を自動的に検出して記録します。すべての資産には所有者が割り当てられています。

はい。パッチは、一元化されたパッチ適用アプリケーションを使用して、エンドポイントに自動的に適用されます。サーバーのパッチ適用は、年1回以上実行される更新によって行われます。このパッチ適用は通常、毎月の定期メンテナンス期間中に実行されます。その他のタイプ(SQL、アンチウイルスなど)のパッチは、必要に応じてその都度実行されますが、開発システムやステージングシステムが存在する場合は、それらを稼働する前にテストする必要があります。

はい。変更管理の役割と責任は、経営陣のほかIT担当者やRWSシステムのテスターなどの関係者が含まれるCABのプロセスによって管理されます。システムの変更は、実装/導入の前にテストされます。緊急的な変更は、標準的な変更管理プロセスと同様の方法で実行され、変更の記録、テスト、合意、実施が確実に行われるようになっています。変更の実施はリリース管理の任務ですが、大規模なプロセスはCABの任務です。

RWS

はい。RWSには、論理アクセスの管理に使用するプロセスを規定する論理アクセスポリシーがあります。

はい。RWSのリスク評価プログラムはRWSのエグゼクティブが所有し、関連する社員に伝達されています。

RWS

RWSのセキュリティリスク管理プログラムの概要は、グローバルセキュリティリスク管理ポリシーに記載されています。この中では、セキュリティリスクの特定と管理に使用する手法についても言及されています。たとえば、資産の特定、影響分析、リスク評価、管理の特定と適用、管理の有効性の監視などです。リスクの評価は定期的に、またはRWSの情報や資産の機密性、完全性、可用性に影響を与える可能性のある重大な変更が生じた場合に行われます。リスク管理プロセスの監督とガバナンスは、必要に応じて、グローバル情報セキュリティリードや情報セキュリティ運営委員会が実行します。

RWS

はい。RWSはデータプライバシーを非常に重視しています。RWSのプライバシーポリシーについては、www.rws.com/about/privacyのプライバシー情報でご確認いただけます。

RWSISO 27001

はい。www.rws.com/jp/securityでISO 27001認証をご確認いただけます。

RWSSOC 2 Type II

はい。RWSのクラウド運用部門がホストするRWSソフトウェアは、SOC 2 Type IIレポートの対象となっています。レポートの概要は、ご要望に応じてご覧いただけます。

はい。RWSの情報セキュリティプログラムは、Chief Transformation Officerが所有しており、年間を通じてエグゼクティブレベルの情報セキュリティ運営委員会が管理し、ビジネス目標を継続的に支援できるようになっています。

RWS

はい。RWSのChief Transformation Officerが、情報セキュリティのエグゼクティブスポンサーです。RWSの情報セキュリティ管理システムの管理とセキュリティ要件への継続的なコンプライアンスに関する日々の任務は、RWSのグローバル情報セキュリティリードが率いる小規模なチームが担当しています。

はい。RWSの情報セキュリティポリシーは、情報セキュリティのエグゼクティブスポンサーによって承認および署名されており、その中で、RWSが情報セキュリティ管理システムを維持し、継続的に開発するための高度なセキュリティ要件が設定されています。

RWSRWS

「RWSのポリシーは毎年1回以上見直されています。社内文書は、NDA/MNDAの下での監査中に、オンサイトまたはリモートで閲覧することができます。 

ISP100 グローバル情報セキュリティポリシー
ISP101 グローバルリスク管理ポリシー(社内)
ISP102 グローバルセキュリティテストポリシー(社内)
ISP103 グローバル論理アクセスポリシー(社内)
ISP104 ビジネス継続性ポリシー(社内)
ISP105 グローバル分類および処理ポリシー(社内)
ISP106 グローバル情報セキュリティインシデント管理ポリシー(社内)
ISP107 グローバル物理的セキュリティポリシー(社内)
ISP108 プライバシーポリシー(社内)
ISP109 グローバルITシステムポリシー:前回レビューおよび承認済み(社内)
ISP110 グローバル暗号化制御ポリシー(社内)
ISP111 グローバルベンダーセキュリティ管理ポリシー(社内)
ISP112 グローバルセキュアソフトウェア開発ライフサイクルポリシー(社内) 

RWSのポリシーは社内のイントラネットで公開されており、RWSの全社員が閲覧できます。ポリシーは、必須のセキュリティおよびプライバシーの意識向上トレーニングを通じて、RWSの社員に定期的に伝達されます」

RWS

はい

RWS

RWSは現在、グローバルセキュリティ例外ポリシーを策定中です。このポリシー案には、承認前の正式な例外リクエストとリスク評価に関するポリシー例外プロセスが含まれています。

はい。RWSの情報セキュリティポリシーのコンプライアンス違反については、グローバル情報セキュリティチームがレビューや調査を行い、その後、経営陣や関連する人事チームに回されて、必要に応じさらなる調査や対応が行われます。制裁はインシデントの重大度に応じて異なり、解雇を含む懲戒処分に発展する場合もあります。

RWS調

RWSの法務部門は、RWSに適用される、関連の法的要件や規制要件を監視します。情報セキュリティに関する規制要件については、法務部門の責任者と情報セキュリティのグローバル責任者の間で協議され、必要に応じてセキュリティプログラムが変更されます。

RWS

そうした法的要求はすべてRWSの法務チームが処理し、そこでは契約上の義務や法的要件が考慮されます。

RWS

はい。RWSのグローバル情報セキュリティインシデント管理ポリシーは、RWSのイントラネット上で公開されており、全社員がアクセス可能です。内容としては、監視と準備、特定、封じ込め、緩和、復旧、フォローアップなどの項目があります。

RWS

はい。RWSのグローバル情報セキュリティインシデント管理ポリシーでは、セキュリティインシデントの発生時に必要なアクティビティが規定され、またプライバシーポリシーには、個人情報に関するインシデントに関連した具体的な情報が含まれています。

RWS

はい。RWSのネットワークサプライヤはトラフィックを監視し、異常なアクティビティが発生した際にはアラートを発信します。RWSは、ネットワークの主要な領域にIDS/IPSを導入し、侵入の検出と防止を行っています。またエンドポイントには、適切な予防/検出ソフトウェアがインストールされています。

はい。情報セキュリティ意識向上トレーニングは、RWSの担当者、契約翻訳者、個人翻訳者のオンボーディングプロセスの基礎をなす部分です。受講後は、コンピュータを使った情報セキュリティトレーニングが、専用の学習モジュールで毎年全社員に提供されます。さらに、情報セキュリティ意識向上トレーニングは、年1回の行動規範トレーニングの一環として、また最低でも2か月に1回(あるいは状況に応じてそれ以上)、「Think Security」キャンペーンを通じて実施されます。

RWS

はい。新規の社員全員に身元確認と「就労権」チェックを行っています。組織内での職務や国の義務で必要とされる場合は、関連する法律に従ってそれ以上の経歴確認を行うこともあります。

RWS

RWSの個人翻訳者は通常、経歴確認の対象とはなりません。ただし個人翻訳者とは、最低限のセキュリティ対策と個人翻訳者の機密保持を含むベンダー契約を締結しています。また、個人翻訳者の経歴スクリーニングが、現地の法律に従い、契約上の合意として顧客から要求される場合があります。

RWS

はい。新規社員は全員、必須の情報セキュリティ意識向上トレーニングと行動規範トレーニングを修了する必要があり、これらのトレーニングにはセキュリティ要素も含まれています。また解雇時には、社員に対し雇用関係終了後のセキュリティに関する責任について注意喚起しています。さらに、資産はすべて回収され、アカウントはレビューと削除が行われるまで一時停止されます。

RWS

はい。RWSのグローバル分類および処理ポリシーは、データの破壊やメディアの無害化の領域を対象としています。ポリシーを実施するための具体的なプロセスは、それぞれのテクノロジー所有者が所有し、管理します。