主要内容
信息安全
来自最高管理层的信息
成为一个持续受到社会信任的公司
近年来,与信息安全相关的风险迅速增加。由于网络攻击的频繁,恶意技术(勒索软件等)的多样化和复杂化,各国监管的加强和多样化,以及地缘政治风险的出现,企业应对的范围也在扩大。
此外,由于我们的管理目标是转型为数字服务公司,我们需要将“安全”作为企业价值观,不仅要减轻数字服务的地缘政治风险,还要进一步巩固我们现有业务的盈利能力。
Teshima欲之
信息安全管理中心总经理
理光有限公司
理光集团一直在向数字服务公司转型,并于2021年正式推出了“AI at Work”系列,这是一项使用专有的自然语言处理AI(人工智能)等技术支持业务运营的新服务。
与此同时,我们成立了资讯安全管理中心,就全公司(理光集团)的资讯安全作出快速管理决策,厘清符合各国法律法规的策略,并将资讯安全与提升企业价值连结起来。
近年来,随着企业致力于通过数字化转型(DX)提高企业竞争力,需要解决的安全问题也随之出现。
在这种社会情况下,理光集团的目标是通过采取措施应对日益复杂的网络攻击,通过“设计安全”确保产品、系统和服务的高质量安全,以及在整个供应链中推广信息安全措施,成为一家继续受到社会信任的公司。188金宝慱欢迎你
计划的背景及其在管理中的定位
资讯保安措施的背景及重要性
理光视“资讯保安”为“安全可靠地保护客户资讯不受威胁”所需的活动范围,并为此采取多项措施。
2020年,理光宣布有意转型为数字服务公司。构建工作场所(办公室/工作场所+家庭)信息化基础设施,实现工作流程数字化、互联化,支持新工作方式。作为一家数字服务公司,我们考虑到不同国家、不同地区、不同行业的不同问题,并结合理光的技术和数字能力,为每个客户提供最佳解决方案。通过这种方式,我们将支持工人的创造力,并改变工作场所。
在数字化工作流程中,客户信息的数字化数据以各种方式被利用来提供价值,但在这个过程中优先考虑的是保护客户信息的安全.
与纸质媒体等模拟数据不同,数字数据可以很容易地从原始数据复制。因此,确保安全和保障的参与范围超出了数字服务的工作流处理。它扩展到实现工作流的环境、制造和开发188金宝慱官网登录产品和服务的工作场所环境、供应链(包括制造所需部件的采购)、相关公司、行业、地区甚至国家。188金宝慱欢迎你而且由于服务的日益复杂和复杂,它还在进一步扩大。
使用勒索软件、恶意软件等恶意攻击者的攻击永无止境。正如国际安全标准活动所表明的那样,不仅靠一家公司,而且要通过国家一级的合作,保持一定的安全水平是很重要的。要实现这一目标,不仅要在网络安全方面协调应对攻击者的攻击和防御,还要在个人信息保护、国家法律法规、贸易等领域协调应对。
什么是客户信息?
这是指理光的产品及服务所收集的资料,例如客户个人资料、客户机密资料、安装在客户环境中的产品的操作188金宝慱欢迎你资料,以及客户查询资料。188金宝慱官网登录
信息安全在管理中的定位
理光的资讯保安定位为必要的活动,以支持我们的不同数字服务活动,如工作流程和数据隐私,并实施价值创造过程。
集团管理委员会(GMC)及理光集团执行委员会风险管理委员会根据我们的管理理念及业务目标,基于全面辨识可能对管理层(包括对持份者)有重大影响的风险,确定“优先管理风险”,并积极参与处理这些风险的活动。
由于国家和国际层面都需要资讯保安措施,理光集团已将研究及推广适合本集团的措施定位为“优先管理风险”中最重要的管理问题之一,因为集团的营运基地遍布全球,必须不断甄别瞬息变化的资讯保安情况。
重大问题是根据国际社会的趋势、可持续发展目标(SDGs)、利益相关者的期望、理光的管理理念、我们的中期管理计划以及外部专家的意见确定的,并定期进行审查。我们在“通过商业解决社会问题”和“坚实的管理基础”两个领域确定了七个重大问题,并为每个重大问题设定了17个环境、社会和公司治理(ESG)目标。188金宝慱官网登录在利益攸关方参与这一目标中,我们根据国际安全标准努力加强安全。
理光的资讯保安被定位为一项必要的活动,以支持我们不同的数码服务活动,例如工作流程和资料私隐(3,4),以及实施价值创造过程(1,2)。
理光的资讯保安措施
资讯保安的概念
在理光集团的经营理念中,我们的使命是“通过人与信息的关系,继续创造和提供对世界有用的新价值。”作为企业公民,我们认识到履行社会责任是我们管理的根本,我们的目标是通过创造经济价值和履行社会责任来提升企业价值。
作为一家业务领域与信息领域相关联的公司,理光集团认识到资讯保安的重要性,有助我们为客户提供安心使用的产品和服务188金宝慱欢迎你.
为此,理光集团制定了《理光集团资讯保安基本政策》及《产品及服务资讯保安基本政策》,并确保这些政策在内部及外部均广为人知。188金宝慱欢迎你此外,我们正在根据国际安全标准加强与信息安全有关的倡议。
我们将这些计划视为所有理光高管和员工都参与的活动,我们在工作地点和业务前线推动日常管理和持续改进,并以此为基础为客户提供理光产品和服务。188金宝慱欢迎你
信息安全基本策略/单项策略
为了提升持续增长的企业价值,理光集团制定了以下与资讯保安有关的政策,为客户提供安全可靠的产品和服务,并支援我们自身的业务基础设施。188金宝慱欢迎你
安全组织
在日益复杂和多元化的业务环境下,理光集团认为“风险管理”对于妥善管理与业务有关的各种内部和外部不188金宝慱官网登录确定性,以及执行我们的管理策略和业务目标,是不可或缺的。
在所有风险管理项目中,信息安全被定位为优先管理的风险管理项目,总经理作为评估者检查工作状态。理光集团的所有成员,包括管理层、推广机构和业务部门,都在不断加强资讯保安。
此外,成立了“信息安全管理中心”,由首席执行官直接控制,负责规划和推动整个集团的信息安全和隐私保护战略。.
信息安全管理中心与负责产品安全的产品安全推广部、负责整个业务信息安全的企业安全推广部以及各业务单元组织的安全团队合作,加强集团范围内的活动。
信息安全的范围
范围包括两个主要领域:“产品和服务”和“商业环境”。188金宝慱官网登录188金宝慱欢迎你
为确保我们从客户处获得的客户信息的安全,不仅我们提供的产品和服务必须健全,而且开发和生产这些产品的制造商理光的商业环境也必须健全。188金宝慱官网登录188金宝慱欢迎你
业务环境包括从产品规划到销188金宝慱官网登录售和维护的价值链、每个流程中使用的信息管理系统、生产/开发/销售系统及其操作规则/流程。近年来,网络安全风险不断增加,不仅来自对产品和服务的直接攻击,还来自对商业环境的攻击。188金宝慱官网登录188金宝慱欢迎你
我们称之为保护我们的产品和服务处理的客户信息不受攻击者“产品安全”的活动,以及保护我们业务环境中处理的客户信息不受攻击者“公司安全”的188金宝慱欢迎你活动。188金宝慱官网登录
基于国际信息安全标准(ISO/IEC*1, NIST*2等),我们建立并加强了集团整个供应链的信息安全意识组织。我们还在规划、设计、采购、生产、销售的各个环节及时预测业务系统相关的安全风险,并不断研究和实施应对措施。
- *1 ISO / IEC:国际标准化组织/国际电工委员会
- *2 NIST:国家标准和技术研究所
产品安全
产品和服务信息安全基本方针188金宝慱欢迎你
我们称我们的活动为保护客户信息
由来自攻击者“产品安全188金宝慱欢迎你性”的产品和服务处理。
(基本政策)
理光集团所提供的产品及服务,均符合客户的工作场所及188金宝慱欢迎你资讯保安政策,让客户放心使用,以保护客户的资讯资产,并使客户能善用资讯资产。
(基本原理)
第一个原则:遵从性
遵守法律法规是根本,优先于第二条和第三条原则。
第二:信息资产保护
每一个产品和服务都应该保护客户信息资产,在满足第一个原则的前提下,这一点应该优先于第三个原则。
第三:最大化所提供的价值
在满足第一和第二原则的前提下,每一个产品和服务提供给顾客的价值都要最大化。(注:此处的价值是指“产品”的一般价值,并不局限于信息安全的价值。)188金宝慱欢迎你
(操作指南)
1合规
理光集团须遵守产品及服务所在国有关资讯安全的所有适用法律及指引,以及合约义务。188金宝慱欢迎你
2客户发放
理光集团应致力识别客户对资讯保安的需求,并提供相应的产品及服务。188金宝慱欢迎你
3.识别和响应环境变化188金宝慱官网登录
理光集团应致力识别资讯保安环境的变化,并提供相应的产品及服务。188金宝慱官网登录188金宝慱欢迎你
4对资讯保安的回应
理光集团须定期分析产品及服务的资讯保安风险,并致力减低这些风险。188金宝慱欢迎你
5资讯保安管理
理光集团须建立及持续改善产品及服务的资讯保安系统。188金宝慱欢迎你
6客户价值最大化
理光集团将致力提供方便与安全相结合的产品及服务解决方案。188金宝慱欢迎你
追求产品安全可靠188金宝慱欢迎你
设计安全
为确保客户放心使用我们的产品和服务,我们致力于以设计实现安全,从规划和设计阶段确保188金宝慱欢迎你信息安全。基于ISO/IEC 27034-1安全开发国际标准的内部法规已经建立并正在逐步应用。
重视安全风险
随着信息社会的发展,各种威胁,如计算机病毒,个人信息泄露,未经授权的外部访问都在我们身边。为了应对日益多样化的威胁,安全措施正被视为我们客户最重要的问题之一。
这些安全威胁并不局限于个人电脑、服务器和网络。通过适当的配置和操作,理光产品和服务的安全威胁也可以188金宝慱欢迎你减轻。为了确保我们产品和服务的安全,我们建议采取某些措施。188金宝慱欢迎你
此外,我们正致力于基于ISO/IEC 29147/30111(漏洞应对的国际标准)的漏洞早期响应,例如对具有高网络攻击风险的漏洞的响应状态进行警报,建立一个联络点以接收安全研究人员的漏洞报告,并提供漏洞应对信息。
理光的分层安全方法
我们安全模式的核心是客户使用的产品和服务。188金宝慱欢迎你在确保我们产品和服务的安全性时,我们会考虑与之相关的所有技术层的188金宝慱欢迎你安全性,包括操作系统、用户界面、应用程序、网络、服务器和维护/服务。
为了保护客户数据免受各种安全威胁,我们的产品和服务始终参考最新的国际安全标准,并遵循各种技术趋势,如加密、OSS漏洞管理、数据权限管理和安全开发流188金宝慱欢迎你程。
企业安全
我们称我们的活动为保护客户信息
在我们的业务环境中处理攻击者的“公司安全”。188金宝慱官网登录
理光集团于2007年3月制定了共同标准,并自2007年4月起推动在集团各公司全面部署和落实这些共同标准。通过这些共同标准,我们的目标是不断提高每个公司的信息安全响应水平,进一步夯实为客户提供新价值的基础。
为了让理光集团透过资讯保安措施,履行企业社会责任及提升企业价值,我们必须将资讯保安级别统一,使各公司的资讯保安超越集团公司间的界限,提升至一定水平以上。
即使在同一个企业集团内,各个公司的规模和企业文化也有很多差异,每个公司的业务范围很广,可能包括研究、开发、设计、生产、销售和服务。在个人基础上处理的信息安全水平也往往存在差异。
理光集团已认识到有必要制定共同标准,作为整个集团的统一保安政策,以解决上述各种问题,并使作为资讯保安活动基础的集团资讯保安管理系统(ISMS)更有效。
此外,ISO/IEC 27001国际标准并没有规定应在何种程度上实施个别安全措施,因此有必要制定具体的实施标准。为响应国际标准的要求,我们于2005年12月开始研究按风险程度实施资讯保安的标准,并于2007年3月制定了“理光家族集团资讯保安措施”(RFG ISMeasures),并于2007年4月起在集团各公司全面推行及采用该等措施。
此外,近年来,网络攻击战术变得越来越复杂和复杂,仅以“预防”为重点的ISMS方法很难应对此类攻击。
针对这种情况,我们采用了美国国家标准与技术研究院(NIST)发布的网络安全框架(CSF)的概念,即“早期发现和快速响应”假设攻击或入侵,以及“OODA”方法,对不断变化的攻击具有高度的响应能力,以进行网络安全响应。
理光的企业安全策略
随着针对公司的勒索软件和其他网络攻击变得越来越复杂和复杂,理光正在推动战略和全球网络安全措施。
对策状态可视化和计划(NIST CSF合规性,基于风险的计划)
为了应对近年来频频登上头条的勒索软件等网络攻击和其他威胁,仅仅遵守之前ISMS对信息安全措施的要求(以下简称“要求”)已经不够了,这些要求的重点是“预防”。
在此背景下,我们还参照《网络安全框架》(CSF)的要求,改进网络安全措施,利用热图可视化应对安全威胁的状况,并制定和实施基于风险的评估和安全增强计划。
采用OODA
在ISMS活动中,使用PDCA(计划-执行-检查-行动)循环来提高安全级别。
“PDCA”循环是一种实施活动以实现明确目标的好方法。但它不适用于处理网络攻击等事件,因为有许多外部因素超出了我们的控制。
通过使用“OODA”(观察-面向-决定-行动)循环,这是一种对不断变化的网络攻击等事件高度响应的方法,我们正在通过适当地划分实现目标的活动(PDCA)和响应不断变化的环境的活动(OODA)来加强我们的安全管理系统。
全球反应
随着理光在全球范围内扩展业务,我们相信我们的安全措施需要在全球范围内一致的响应。理光在2015年组织了VOIT (Virtual One IT),以提高全球安全实力的同质性,并加快安全人员之间的协调。
VOIT的目的
- ・推动全球信息安全和风险管理计划
- ・建立集团信息安全政策、标准和程序
- ・提高区域和全球层面的安全意识
- ・审查全球范围内的安全实施计划
- ・共享已识别漏洞的信息,并支持相互响应
VOIT组织架构
加强保安事故应变
我们已成立电脑保安事故应变小组/保安行动中心(CSIRT/SOC)架构,并不断加强该架构,使我们能够迅速回应日益猖獗的网络攻击。
CSIRT的建立与运行
RICOH-CSIRT于2013财年组织,根据SOC的事件报告、外部CSIRT组织的信息以及安全信息网站的信息分析威胁。
该团队还领导对识别的威胁进行快速和最佳响应(证据保存、攻击分析、根本原因调查、防止传播和遏制)。
SOC的建立和运行
理光集团已成立保安运作中心,持续监察集团的资讯科技系统,并对可疑事件进行详细分析。
这可以通过快速检测来自外部的未经授权的入侵和来自内部的未经授权的使用来早期发现事件,并且还可以在必要时与响应团队建立联系。
使用外部安全专家
随着网络攻击变得越来越复杂,很难在内部完成所有的安全响应。
因此,理光通过与安全专家合作,引入了托管安全服务(MSS),并与各种安全组织合作,始终利用最先进的安全技术。
安全培训
为了保护信息资产免受威胁,必须建立和传播规则,实施制度,并确保每个员工都具有高度的安全意识和技能。理光定期开展安全培训和意识项目,以提高人力资源在这方面的知识。
安全培训
我们正在推动培训,以提高人们对日常工作中必须注意的安全风险问题的认识,例如在旅行和远程工作时应采取的预防措施,如何使用云服务,以及防病毒措施,并了解正确应对这些风险的方法,以便我们能够安全地工作。
针对性的电子邮件攻击训练
除了让员工熟悉如何识别和响应涉嫌网络攻击的欺诈电子邮件外,我们还让他们有经验接收和响应模拟网络攻击的电子邮件,以阻止来自实际攻击电子邮件的破坏。
事件响应的桌面培训
在应对网络攻击威胁时,重要的不仅是防止损害的发生,而且还要防止损害的扩散,并在发生损害时迅速恢复。
为此,我们定期进行模拟网络攻击演习。
安全通信
在网络安全领域,员工不仅要有基本的知识,还要跟上最新的趋势。
为此,我们定期以“安全沟通”的形式向全公司员工发送和共享有关安全趋势的信息以及内部安全对此类趋势的响应。
数据隐私
在数字化和大数据快速发展的背景下,数据隐私和个人信息保护*在全球范围内日益受到关注。遵守《通用数据保护条例》(GDPR)和其他有关数据隐私的国家法律法规是公司保持竞争力的首要问题。
日本自2005年制定《个人信息保护法》以来,由于技术进步和商业全球化等社会条件的变化,不断修订相关法律。
理光一直在向数字服务公司转型,并于2021年正式推出了“AI at Work”系列,这是一项使用专有的自然语言处理AI(人工智能)等技术支持业务运营的新服务。
与此同时,个人数据使用的规则仍然不明确,企业很难确定在多大程度上使用个人数据是合适的。此外,从客户的角度来看,不确定他们的个人资料是否得到适当处理,以及他们的隐私是否得到适当保护,是令人担忧的原因。
因此,理光为所有个人资料(包括客户个人资料)制定了数据隐私政策,以确保遵守有关客户资料的所有法律法规。
- ※个人信息是可以用来识别个人身份的信息。
- ※个人数据是指一个人的所有信息,无论这个人是否可以被识别。
个人信息保护
在理光集团,我们认识到个人信息(包括个人号码及特定个人信息)在全球资讯社会中的用途及保护个人权益的重要性,并遵守相关法律、法规及其他规则,以确保在业务过程中处理的所有个人信息均得到适当及有效的使用。
自2005年日本《个人信息保护法》颁布以来,理光集团根据个人信息保护的国际趋势,建立、运作和管理了我们自己的规定,并确保所有员工和其他相关人员都了解这些规定。此外,我们正在持续维护和完善我们的法规,并遵守于2022年4月生效的修订后的法案。
理光集团的资料私隐政策
理光集团对可持续发展社会的愿景被表达为“3p平衡”,换句话说,一个社会在繁荣(经济活动)、人民(社会)和地球(环境)这三个p之间保持平衡。188金宝慱官网登录
为了实现理光集团所追求的社会目标,我们努力解决社会问题,贡献社会。
个人信息的基本政策
根据理光集团的个人资料保护基本政策,我们遵守所有相关法律、法规及其他保护私隐的规则。
理光集团旗下公司亦会根据其他适合其业务的私隐政策营运,并根据该等政策开发产品及服务。188金宝慱欢迎你
私隐及保安
理光集团会根据个人资料保护基本政策妥善处理客户资料,并会采取适当措施保护客户。
此外,我们会根据理光集团资讯保安基本政策及《理光集团资讯保安产品及服务基本规例》,致力提高所收集的客户资料的保密性、完整性及可用性。188金宝慱欢迎你
理光集团所处理的资料
理光集团会处理客户资料,以便向客户提供产品及服务、改善产品及服务质素,以及考虑发展新产品及服务。188金宝慱欢迎你
透明度和问责制
理光集团将尽力确保客户资料的适当使用,并根据预期用途及情况作出解释。
理光集团利用人工智能技术的基本政策
理光集团的使命是提供卓越的服务,以提高生活质量,并基于“三爱”的精神推动可持续发展,“三爱”是对人民的奉献,对国家的奉献,对工作的热情,这也是理光创始人一村清的原则。
基于这一使命,理光集团制定了以下政策,通过整合和利用我们积累的先进技术和人工智能,为人们提供满足、效率和便利。
1.尊重人权
理光集团将根据我们的人权政策应用人工智能。
2.资料私隐政策
理光集团将根据理光集团资料私隐政策处理客户资料。
3.公平
我们认识到人工智能的使用可能会在结果中引入偏差。因此,我们将努力避免在使用和应用人工智能时产生偏见。
4.创造新价值
理光集团将利用人工智能创造新价值,同时与客户紧密合作,赢得他们的信任,帮助他们成长和解决问题。
理光信息安全的未来
旨在树立安全品牌
由于世界范围内网络攻击数量的增加,对信息保护的需求日益增长,现在已经成为普遍的常识。
与攻击者的持续斗争在未来可能会继续下去,而且不会放缓。
理光集团将继续加强和改善在资讯保安方面的工作,以确保我们作为数码服务公司能够灵活应变。同时,我们将密切关注外部环境的变化,例如各行业和各国安全标准的加强。188金宝慱官网登录为了实现这一目标,我们将继续加强我们的信息安全组织。
发布资讯保安报告
《2022年信息安全报告》
本报告概述理光集团的资讯保安措施。
在理光集团的经营理念中,我们的使命是“通过人与信息的关系,继续创造和提供对世界有用的新价值。”
作为一家以数码服务为业务范畴的公司,理光集团相信在资讯保安方面的努力,对于提供让客户放心使用的产品和服务至关重要。188金宝慱欢迎你
基于这一信念,我们发布了《信息安全报告》。
我们鼓励你看一看。
《2022年信息安全报告》
本报告概述理光集团的资讯保安措施。
在理光集团的经营理念中,我们的使命是“通过人与信息的关系,继续创造和提供对世界有用的新价值。”
作为一家以数码服务为业务范畴的公司,理光集团相信在资讯保安方面的努力,对于提供让客户放心使用的产品和服务至关重要。188金宝慱欢迎你
基于这一信念,我们发布了《信息安全报告》。
我们鼓励你看一看。
