当社は情報セキュリティリスクの管理に構造化された積極的なアプローチを採用しています。
当社は機密情報の保護は法律および規制上の義務であるだけでなく、当社の顧客、従業員、および利害関係者に対する基本的な責任でもあることを認識しています。
当社は従業員に対する継続的な教育とトレーニングを優先し、最先端のセキュリティ技術の導入、そして定期的なリスク評価を実施して、堅牢なインシデント対応手順を維持しています。
こうした取り組みにより、サイバー脅威に対処し、当社がサービスを提供する企業の信頼を維持するための、回復力のある積極的なアプローチを確保しています。
情報セキュリティリスク管理への当社のアプローチ
当社のアーキテクチャ哲学は、多層防御、積極的な脅威緩和、継続的な監視、およびデータとシステムを保護するためのリスクベースアプローチの原則に基づいています。堅牢なセキュリティ制御、業界のベストプラクティスの遵守、およびセキュリティ意識の文化が、当社の重要な情報資産の機密性、完全性、可用性を保証します。
当社の構造化された積極的なアプローチは、アクセス制御、暗号化、ネットワーク分離、トラフィック検査、および安全な保管を含む、強力な内部データ保護制御を採用しています。加えて、継続的な監視、監査およびアクセスログの収集と安全な保管、パッチ適用、脅威からの保護、脆弱性検出プロセスのプログラムによって補完されています。
情報セキュリティ委員会(ISC: Information Security Committee)は当社のエグゼクティブ・チェアマン兼最高イノベーション責任者、Richard Whiteと情報サービスの責任者が共同議長を務めています。ISC会議では、メンバーが当社の事業と顧客に影響を及ぼす可能性のある内部および外部の環境を検討し、現在と新しいリスクに対応するための戦略と目標を策定します。また、同委員会は業界の動向、法律や規制の変更、情報セキュリティの脅威に関する最新情報を定期的に見直します。
年間を通じて、当社では社内のインシデント対応プロセスをテストし改善するためにサイバー攻撃のシミュレーションを実施しています。これを年次の事業継続計画、災害復旧、危機管理シミュレーションと組み合わせることで、さまざまな種類のサイバー攻撃に対してチームを備えることができます。
当社では、従業員にサイバーセキュリティの脅威を常に認識させ、定期的にフィッシング啓発キャンペーンを実施し、ビジネスメールを含むさまざまな手段を介したフィッシングを識別するための知識を従業員に提供しています。これらのキャンペーンは、WiseTechの全従業員と委託社員に義務付けられている当社のセキュリティおよびデータ保護のトレーニングを補完するものです。
当社では、ISO31000(リスク管理)に準拠したエンタープライズリスクフレームワークを通じて、サイバーセキュリティ脅威に関連するリスクを管理しています。
当社の情報セキュリティリスク管理フレームワークは、潜在的な脅威と脆弱性を体系的に特定し、それらが組織の資産に及ぼす潜在的な影響を評価し、適切なリスク対応戦略を決定することで、リスクと関連する制御の評価を導きます。
加えて、当社は顧客に保証を提供するために、NISTサイバーセキュリティフレームワーク、OWASP、ACSC Essential Eightなど、高く評価され世界的に認められたプログラム、およびCenter for Internet Security (CIS)によって発行された規格に準拠しています。