情報セキュリティは HID Global の重要な課題です。 顧客の信頼の維持を確実にするために、HID Global では、包括的な情報セキュリティ管理システム (ISMS) を構築しました。そして、社会で認められているセキュリティ要件を超えて、世界で信頼される ID セキュリティのソースであり続けます。
セキュリティスタッフ
HID のすべての従業員は、情報セキュリティとプライバシーに関する意識向上のため、トレーニングを受けることが求められます。 機密情報や顧客データを扱う可能性のある従業員は、それぞれの業務に応じたトレーニングを受けるとともに、必要に応じて政府の機密情報取扱許可を取得しています。 当社には、以下の機能と責任を含め、高度なスキルを持つ、セキュリティ分野にプロフェッショナルな専任スタッフを備えています:
ISMS 実行委員会
- ISMS のすべての経営管理要件に対応
- 情報セキュリティに関連する役割、責任、権限の確実な割り当てと、情報共有の徹底
- リスク評価方法論 (アプローチ) 、影響と可能性のスケール、リスクの受け入れ基準、選択されたコントロール、残留リスクと許容リスクなど、リスクマネジメントの全般的なプロセスの承認
ビジネスユニット運営委員会
- ISMS がビジネス要件を満たしていることを保証し、ビジネスユニットの製品およびサービスに付加価値をもたらす
- ビジネスユニットに関連するリスクに対して、リスク管理のプロセスを再検討する
- ISMS のポリシー、プロセス、手順を再検討する
グローバルな情報セキュリティチーム
- ISMS の実施、維持、改善全般を担当
- 公表されたポリシー、プロセス、手順に従い、すべてのセキュリティインシデントが調査、伝達、文書化され、解決されることを保証
- HID Global の現在および将来のビジネスニーズに対応した、情報セキュリティアーキテクチャを開発
ポリシー
HID Global は、詳細な内部情報セキュリティおよびデータプライバシーポリシーを管理しています。 すべての社員は、グローバル情報セキュリティポリシーと、それを支えるポリシーおよび手順の条項を読み、理解し、遵守することに同意する必要があります。
評価
HID Global は、サイバーセキュリティに対して、積極的な分析主導のアプローチを実施することに取り組んでいます。 セキュリティのテストと改良は、当社の脆弱性と脅威の評価プロセスに組み込まれた継続的な活動です。 すべての HID Origo ソリューションコンポーネントに対して、継続的なテストを実施し、可能な限り高いレベルのセキュリティを確保するために、社外のセキュリティ監査を定期的に受け、セキュリティ体制を検証しています。 アプリケーションやシステムの脆弱性脅威評価を継続的に行うことで、次の内容をサポートします:
- ネットワーク脆弱性スキャナー
- 優れた第三者機関による、ペネトレーションテストとコードレビュー
- セキュリティ管理フレームワークの、レビューとテスト
不正アクセスを防ぐために、可能な限りの対策を講じるよう、お客様に強くお勧めします。 脆弱性が発見された場合は、HID Global テクニカルサポートに連絡するか、緊急でない場合は当社のセキュリティセンターを通じて、HID Global に直接報告する必要があります。
注:事前の許可なしに、第三者による脆弱性テストや侵入テストを許可することはありません。 私たちは、円滑な業務を保証する責任を負っています。 制御されていないテストは、システムのパフォーマンスに悪影響を及ぼす危険性があります。
セキュリティインシデント管理
HID Global は、セキュリティインシデント管理のポリシーと手順を守り、適切な原因分析と是正措置計画を実施しています。 私たちは、それぞれの顧客データの不正な開示が実際にあった場合、またはその疑いのある場合、法律で認められている範囲内で、影響を受けた顧客に速やかに通知します。 セキュリティインシデントが検出された場合、グローバルな情報セキュリティチームは、定められた手順に従って、問題の評価、テスト、解決に必要なステップを以下のように実行します:
- 調査し、診断する
- 機密データの漏洩や紛失が疑われる場合、上層部に報告する
- 是正措置の実施
- テストと検証
- エスカレーションが発生した場合のインシデントの根本的な原因分析の実施
セキュアな製品をつくるために
SAFe (大規模アジャイルフレームワーク) に基づくアジャイルソフトウェア開発、ライフサイクルプロセスを持っており、すべての段階においてセキュリティのベストプラクティスが組み込まれています。 継続的インテグレーションとデプロイの手順の一部を以下に説明します
開発
ソースコードの静的コード分析と監査チェック
テスト
- アプリケーションセキュリティテストと、ネットワークセキュリティスキャン
- セキュリティテスト結果のレビューと承認
デプロイメント
- 機密データのマスキング
- セキュリティ基準および実装の検証と承認
- アーキテクチャとセキュリティの、ガバナンスコンプライアンスチェック
- 生産環境と非生産環境の隔離
モニタリング
- アクセス制御ポリシーの、モニタリングとレビュー
- ファイアウォールポリシーの実装と異常のレビュー
- 定期的な脆弱性評価
- ログ分析ツールの実装