SOC2 報告書
1. 目的
ITの進歩により、私たちの生活はより便利になりましたが、その一方で、企業は情報の漏洩、改ざん、破壊、紛失など、様々な脅威にさらされています。SYSCOM GLOBAL SOLUTIONSは、データセンターやパブリッククラウドを利用し、IaaSの導入支援や運用支援を行う中で、お客様の機密情報を取り扱っています。お客様の大切なビジネスをITで支えるにあたり、これらの情報資産を適切に管理・運用することが社会的責務であると考えています。この責任を果たし、情報資産の機密性、完全性、可用性を維持するために、SOC2に準拠した社内プロセスを構築・運用し、組織的な情報セキュリティ対策を実施しています。
2. SOC報告書とは
SOC for Service Organizations報告書は、他の事業体にサービスを提供するサービス機関が、独立した公認会計士による報告書を通じて、実施したサービスおよびサービスに関連する統制に対する信頼と信用を構築できるように設計されています。
SOC 2® – SOC for Service Organizationsは、信託サービス基準を意味し、セキュリティ、可用性、処理の完全性、機密性またはプライバシーに関連するサービス機関の統制に関する報告書のことを指します。
これらの報告書は、ユーザーのデータを処理するためにサービス組織が使用するシステムのセキュリティ、可用性、処理の整合性、および情報の機密性とプライバシーに関連する統制について、詳細な情報と保証を必要とする幅広いユーザーのニーズに対応することを目的としています。これらの報告書は、以下のような重要な役割を果たします:
・組織に対する監視
・ベンダーマネジメントプログラム
・内部コーポレートガバナンスとリスクマネジメントプロセス
・規制の監視
3. 対象サービス
・米国全土におけるSYSCOMデータセンターIaaSの実装サービスおよびサポート運用
・米国全土におけるパブリッククラウドIaaSの実装サービスおよびサポート運用
4. トップマネジメントとコミットメント
SOC2の指導に従い、トップマネジメントは効果的な情報セキュリティ管理システム(ISMS)の確立に下記の通り、コミットしています。
・明確に定義され、全社的に承認された目的を持ち、文書化されたISMSポリシーであること。
・現在承認されている範囲内のプロセス、システム、および人々で運用され、社内で周知されているISMSであること。
・ISMSを確立、維持、および持続的に改善するために必要なリソースを割り当てること。
・経営陣のコミットメントとサポートを全社に明確に伝え、ISMSの目的、実装、および持続的改善を支援すること。
・ISMSの実装を監視し、ISMS自体およびその評価対象となる目的の持続的改善を促進すること。
・ISMS内で実装する情報セキュリティコントロールを監視および測定する責任を持つ人物をサポートすること。
・ISMS管理チームによって開発され、経営陣によって承認されたISMSの目的とポリシーに沿ったベンダー関係、契約、および合意の開発を支援すること。
・SYSCOMにおいて情報セキュリティを企業のコアバリューとして推進し、本ISMSから派生した方針と手順に従うよう、従業員および関係者に要件を課し、改善する機会を報告する方針を策定すること。
5. 組織の役割、責任、および権限
トップマネジメントは、ISMC (Information Security Management Committee) を設立し、以下の権限を与えています。
・SYSCOM内の特定の人員や事業部に対して役割と責任を割り当て、必要に応じてISMSのパフォーマンスを監視するために定期的に報告書を収集すること。
・ISMSに関連する人員の資格と能力を決定すること。
・ISMSを管理するために特別なグループや機関と連絡を取り、人員をサポートすること。
・情報セキュリティに関する責任をマネージャーに割り当てること。
・設立されたISMS関連のポリシーや手順に違反したことが原因とされるセキュリティインシデントが発生した場合に、必要となる人事措置が取れるHRポリシーとなっているか確認すること。
6. 法律および社会倫理への遵守
SYSCOMは、個人情報保護など情報セキュリティに関連する法律、規制、契約上のセキュリティ義務に忠実に遵守します。
7. 情報セキュリティリスクアセスメントおよび処理計画
SYSCOMは、リスクに基づくアプローチが組織にとって最適であると判断し、少なくとも年に1回の頻度でリスクアセスメントを実施します。ISMCは、必要と判断した場合に追加の中間リスクアセスメントを開始し、必要に応じて各スコープを定義します。
・リスクアセスメントは、SYSCOM Risk Management Methodologyに従って実施されます。ISMCは、このメソドロジーに必要な変更が少なくとも年に1回ある場合には、変更を検討し承認します。
・SYSCOMは、現在のリスクがトップマネジメントが承認したリスク閾値を超えた場合、必要なプロセスでリスクを低減するための行動計画を立案します。
・リスク処理計画は、SYSCOM Risk Management Methodology に従って文書化されます。ISMCは、メソドロジーに必要な
変更が少なくとも年に1回ある場合に、変更を検討し承認します。
8. 教育・トレーニング
SYSCOMは、SOC2に準拠することの重要性とメリットを認識し、ポリシーや手順に沿ってセキュリティオペレーションが実施されるように、継続的に教育・トレーニングを提供します。
9. インシデント管理および予防
SYSCOMは、情報セキュリティインシデントが発生しないよう必要な予防措置を講じ、もしインシデントが発生した場合には、迅速に原因を調査・分析し、再発防止のための是正措置を講じます。
2023 年3 月1 日
SYSCOM GLOBAL SOLUTIONS INC.
代表取締役社長 佐藤 誠詞
情報セキュリティ方針
認証番号:IS 754169 / ISO 27001
1. 目的
ITの進歩により多くの利便性を享受できる反面、企業は情報漏えい、改ざん、破壊、紛失など様々な脅威に晒されています。SYSCOM GLOBAL SOLUTIONS INC.は、 ERPコンサルティング、導入支援、運用サポートを遂行していく上で、ITを活用し、顧客の機密情報などを取り扱っています。ERPパッケージ事業を行っていく上では、これらの情報資産を適切に管理していくことが社会的な責務と考えます。その責務を認識し、情報資産の機密性、完全性及び可用性を維持するための対策(情報セキュリティ対策)を組織的に実行していくためにISMSを構築・運用していきます。
2. 情報セキュリティの定義
情報セキュリティとは、機密性、完全性及び可用性を確保し維持することと定義します。
・機密性:許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は、非公開にする特性。(情報を漏えいや不正アクセスから保護すること。)
・完全性:資産の正確さ及び完全さを保護する特性(情報の改ざんや間違いから保護すること。)
・可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。(情報の紛失・破損やシステムの停止などから保護すること。)
3. 適用範囲
適用組織:東京支店
適用場所:〒105-5117東京都港区浜松町2丁目4-1 世界貿易センタービルディング南館
適用業務:ERPコンサルティング、導入支援、運用サポート
4. トップマネジメントの責任
トップマネジメントは、当社事業戦略・事業プロセスと両立したISMSを構築し、その有効性及びパフォーマンスを維持、継続的に改善するため、次の事項を実施します。
・情報セキュリティの方針及び目的、ISMSにおける役割及び責任を定め、必要な経営資源を提供します。
・リスクアセスメントに関する基準及びリスク受容レベルを決定し、残留リスク、及びISMSを承認します。また、ISMS基本規程、適用宣言書、リスク対応計画、内部監査計画、教育計画、事業継続計画などのセキュリティ計画を承認します。
・内部コミュニケーションを通じ、情報セキュリティ要求事項への適合の重要性を周知し、ISMSの有効性に貢献するよう各管理者、従業員を指揮、支援します。
・マネジメントレビューを通じてISMSの変更、改善の必要性を評価・指示します。
5. 法令及び社会倫理の遵守
個人情報保護などの情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を誠実に遵守します。
6. リスクを評価するに当たっての機軸を確立
ISMS適用範囲の中にある資産及び資産の管理責任者を特定し、リスクアセスメントの取り組み方法を策定し、実施します。その結果や方法は、組織、事業、社会などの変化に応じて見直します。
7. 教育・訓練の実施
ISMSに適合することの重要性及び利点を十分に認識し、方針・手順に従ったセキュリティの運用を確実なものとするために、教育・訓練を継続的に実施します。
8. 事故への予防と対応
情報セキュリティ事故を未然に防ぐために必要な予防措置を実践するとともに、万一の発生時にはすみやかに根本原因を調査・分析し、再発を防止するために必要な是正処置を講じます。
2023 年2 月24 日
SYSCOM GLOBAL SOLUTIONS INC.
東京支店長 塚瀬 康之