可持续发展 | 管理信息安全
基本思路
为在维持现有水平的情况下提升信息安全,TDK集团根据信息安全基本方针,在全球范围构筑了信息安全管理体系,并不懈努力着。
信息安全管理基本方针
总方向性
该方针适用于整个TDK集团。
TDK集团发展成为让诸位利益攸关的共同参与者(stakeholder)更加满意信赖度高的企业,明确个人信息、经营机密信息(含客户寄存信息)的妥当管理、财务信息的正确性、公开明确性及业务持续性的重要程度。所以,我们竭力维持信息安全并不断提高其安全度。
作为具体方针,对全体员工推进如下七项活动。
行动方针
-
遵守法令规则
有关信息资产管理,必须遵守各个国家和地区的“防止对信息的篡改,泄密,不正当阅读窃取,不正当使用的相关法律”、“信息的信赖性与公开的正确性相关法律”,“个人信息保护法”,“包括与顾客的契约事项在内的从业相关法律”。 -
信息安全管理体制
确立信息安全的管理运用体制组织,并明确规定其作用与责任。 -
根据风险大小采取相应管理措施
针对信息资产的威胁与脆弱性,从机密性、完整性、可用性这一观点进行识别,根据风险大小采取适宜的管理措施。同时,根据此基本方针调整内部章程,有效实施信息安全管理方案。 -
经营资源的提供
经营管理层为顺利实现该方针,提供必要的经营资源。 -
持续改善信息安全
明确公司内外环境变化可能带来的风险,共同对信息安全做出持续改善。 -
严格公正的处理
管理经营层,一但发生违反该方针以及公司规定的行为,依据“从业规则”以及“企业伦理纲领”进行严格处理。 -
处理突发事件和事故
如果发生信息安全事件或事故,我们将做出适当回应,并努力防止再次发生。
2005年7月1日 制定
2025年1月1日 修订
TDK株式会社
社长执行董事CEO 斋藤 升
治理
我们设置了经营会议直管的“信息安全委员会”,在集团全体的信息安全方面,根据风险制定相应对策。信息安全委员会的委员长由执行董事担任,每季度向董事长社长CEO进行汇报,并每2年向监查人员进行汇报。
此外,我们设置了全球各地区代表参加的会议,加强整个TDK集团的信息安全治理。
我们在各公司设置了信息安全管理员,建立了在信息安全事故发生时,或员工发现可疑问题时,向信息安全委员会汇报的体制。此外,根据事故的严重度和紧急度,我们规定了基于上述治理体制的汇报流程。并且,如果发生并确认了重大事故,信息安全委员会会与危机管理委员会合作,采取迅速的应对措施。
信息安全教育
为了维护和改善整个TDK集团的信息安全,我们每年会至少实施1次以全体员工为对象的信息安全教育和邮件演习。
信息安全教育以计算机用户为对象,在集团各据点实施。关于教育的内容和频率,我们会根据各据点的环境和状况,纳入合适的内容。
邮件演习也在各据点开展,我们会将模拟实际攻击的邮件发送给员工,检查打开附件的人数以及链接的点击数。
战略
网络攻击导致的生产、销售、市场调研、研发等活动的停止和信息泄露所引发的信用、信任丢失等情况会带来重大的业务影响,因此我们将信息安全视为重要的经营课题之一。
在防止事故的同时,为了在万一的情况下将损失限制在最小程度,我们基于NIST(美国国家标准研究所)网络安全框架(①治理、②识别、③防御、④检测、⑤应对、⑥恢复),强化信息安全举措。
[主要举措]
- Zero Trust的构建(②识别、③防御、④检测)
为了防止事故、将损失限制在最小程度,我们着手构建了Zero Trust。
Zero Trust是一项常态化限制和监控所有用户、设备、网络访问,防止外部攻击,抑制其内部扩散的举措。 -
供应链安全(①治理)
为了防止TDK业务活动停止,我们也会在整个TDK集团开展不局限于TDK的供应链信息安全状况掌握和改善活动。 -
内部违规风险对策(③防御、④检测、⑤应对)
为了防止信息泄露导致的信用、信任丢失,我们采用AI监控工具等手段,防止内部违规。 -
事故应对(⑤应对、⑥恢复)
为了将损失限制在最小程度并尽快恢复,我们构建了应对信息安全事故的组织CSIRT(Computer Security Incident Response Team),并在CSIRP(Computer Security Incident Response Plan)中规定了发生信息安全事故时的应对体制和计划。
我们也在持续通过定向攻击邮件演习等方式来完善对员工的教育和培训,让整个TDK集团来应对系统无法完全消除的风险。
风险管理
对于外部风险,我们从执行网络攻击的黑客角度出发,对TDK的网络系统进行常态化监控,对于需要应对的高风险弱点,我们会采取迅速的行动。监控的结果会通过每季度一次的社长报告等形式,汇报给管理层。
对于内部来源的风险,在员工泄露信息的对策方面,我们会向ERM(Enterprise Risk Management)汇报具体举措,并接受审核。
指标和目标
中长期目标
- Zero Trust
为了防止事故、将损失限制在最小程度,我们着手构建了Zero Trust。
Zero Trust是一项常态化限制和监控所有用户、设备、网络访问,防止外部攻击,抑制其内部扩散的举措。我们会针对TDK的业务环境构建妥善的Zero Trust。
2024财年:规定TDK Zero Trust的定义,集全体TDK集团之力,达成首年的目标
2026财年:实现2024财年内规定的TDK Zero Trust的达成水平
2023财年目标和成绩
2023财年目标 | 成果 |
---|---|
外部公开环境评估系统进行的弱点评估 所有评估对象系统 在950分满分中达到800分(A级) |
对于所有评估对象系统,达到800分(A级) |
[主要成果]
按照NIST的网络安全框架,强化了信息安全举措。
- 从网络的角度评估整个TDK集团的弱点(利用外部公开环境评估系统),寻找并改善弱点(②识别、③防御、④检测)
-
确认供应链信息安全状况并支持其改善(②识别、③防御)
中小企业厅的伙伴关系构建宣言 行动事例集介绍了本公司的活动 - 通过可检测危险云服务使用情况的机制,封禁无授权的云服务(②识别、③防御、④检测)
- 实施针对信息安全事故的演练(⑤应对、⑥恢复)
- 作为内部违规对策,引入AI监控工具,防止内部违规(③防御、④检测、⑤应对)
- 续签网络风险保险(⑥恢复)
- 实施信息安全教育和邮件演习(③防御)
评估和今后的举措
2023财年,我们从执行网络攻击的黑客角度出发,对TDK的网络系统进行了常态化监控,对于需要应对的高风险弱点,我们基于TDK集团各子公司的合作,分享改善状况的进展,构建竞争与合作关系,采取迅速的行动,从而达成了目标。
今后,我们会以Zero Trust的构建为重点主题,在整个TDK集团明确定义TDK的Zero Trust,不断建设更加稳固的信息安全体制。
举措
[信息安全的强化举措]
- Zero Trust的构建
我们会以Zero Trust的构建为重点主题,在整个TDK集团明确定义TDK的Zero Trust,不断建设更加稳固的信息安全体制。
Zero Trust是一项常态化限制和监控所有用户、设备、网络访问,防止外部攻击,抑制其内部扩散的举措。我们会针对TDK的业务环境构建妥善的Zero Trust。 - 供应链安全
为了防止TDK业务活动停止,我们也会在整个TDK集团开展不局限于TDK的供应链信息安全状况掌握和改善活动。 - 通过调查问卷确认信息安全管理体制和运用规则
- 采用外部公开环境评估系统寻找弱点
- 通过采样调查确认实际运用情况
[伙伴关系构建宣扬中介绍了本公司的活动]
关于供应链安全方面的活动,中小企业厅的伙伴关系构建宣言 行动事例集介绍了本公司的活动。
寻找和改善弱点
从执行网络攻击的黑客角度出发,对TDK的网络系统进行了常态化监控,对于需要应对的高风险弱点,我们会采取迅速的行动。
并且,TDK集团每年会至少实施一次第三方弱点诊断,寻找和改善信息安全管理方面的弱点。
强化安全事故应对
我们构建了应对信息安全事故的组织CSIRT(Computer Security Incident Response Team),并在CSIRP(Computer Security Incident
Response Plan)中规定了发生信息安全事故时的应对体制和计划。
TDK集团制定了信息安全相关的业务延续计划(IT-BCP),预先规定了信息安全事故发生时的应对措施。此外,我们每年至少实施一次IT-BCP培训,并基于其结果进行定期的计划修订。
个人信息保护
TDK基于TDK隐私政策,努力保护个人信息和隐私。
此外,作为适用于所有TDK的个人信息处理行为的TDK隐私政策的一部分,我们制定了TDK个人信息保护基本方针。
相关信息
TDK集团将个人信息也视为信息安全的一环,努力通过信息安全体制,采取妥善的个人信息管理。我们会每年确认个人信息的管理状况,并根据结果进行修正和改善。
作为信息安全委员会下属的组织,我们设置了个人信息保护分科会,将其定为保护个人信息的机构,以及处理个人信息相关询问的回答窗口。
隐私侵害相关的申诉
2023财年,我们没有在各集团子公司接到关于客户隐私侵害或客户数据丢失的问题报告或客户申诉的受理。此外,我们也没有对客户数据进行二次利用。