- 概要
このセキュリティ ポリシーの目的は、Allamex™ がシステムとデータの機密性、完全性、可用性を確保するために採用する対策と実践の概要を説明することです。 このポリシーは、当社のシステムと情報にアクセスできるすべての従業員、請負業者、および第三者機関に適用されます。 当社のビジネスおよび顧客情報を不正なアクセス、開示、改ざん、または破壊から保護するには、このポリシーの遵守が必須です。
- アクセス制御
2.1ユーザーアカウント:
- ユーザー アカウントは、卸売オンライン ビジネス システムにアクセスするすべての従業員および請負業者に対して作成されます。
- ユーザー アカウントは最小特権の原則に基づいて付与され、個人が職務の遂行に必要なリソースのみにアクセスできるようになります。
- 大文字、小文字、数字、特殊文字の組み合わせを必要とする強力なパスワードが適用されます。
- 追加のセキュリティ層を提供するために、すべてのユーザー アカウントに多要素認証 (MFA) が実装されます。
2.2サードパーティのアクセス:
- 当社のシステムおよびデータへの第三者のアクセスは、知る必要がある場合にのみ許可されます。
- 第三者機関は機密保持契約に署名し、弊社と一致するセキュリティ基準と慣行を遵守する必要があります。
- データ保護
3.1データ分類:
-
- すべてのデータは、適切な保護レベルを決定するために、その機密性と重要性に基づいて分類されます。
- データの適切な取り扱い、保管、送信を確実にするために、データ分類ガイドラインが従業員に提供されます。
3.2データ暗号化:
-
- 機密データの送信は、SSL/TLS などの業界標準の暗号化プロトコルを使用して暗号化されます。
- 保管中のデータ、特に保存されている機密情報を保護するために、暗号化メカニズムが実装されます。
- データベースとファイル システム。
3.3データのバックアップとリカバリ:
-
- 重要なデータは定期的にバックアップされ、オフサイトの場所に安全に保管されます。
- バックアップの整合性と復元プロセスは定期的にテストされ、災害時のデータ回復可能性が保証されます。
4.ネットワークセキュリティー
-
- ファイアウォールと侵入検知システム:
- ファイアウォールと侵入検知システムは、不正アクセスの試みや悪意のある活動からネットワーク インフラストラクチャを保護するために導入されます。
- 潜在的なセキュリティ インシデントを特定して対応するために、ネットワーク トラフィックの定期的な監視と分析が実施されます。
4.1安全なリモートアクセス:
-
- 当社システムへのリモート アクセスは、VPN (仮想プライベート ネットワーク) などの安全なチャネル経由でのみ許可されます。
- リモート アクセス アカウントは強力な認証メカニズムによって保護され、不審なアクティビティがないか監視されます。
5.インシデント対応
5.1インシデントの報告:
-
-
- 従業員と請負業者は、セキュリティインシデント、侵害、または不審な活動を指定された連絡先に速やかに報告するよう訓練されます。
- インシデント報告手順は明確に伝えられ、タイムリーな対応と解決を確実にするために定期的に見直されます。
-
5.2インシデント対応チーム:
-
-
- インシデント対応チームは、セキュリティ インシデントの処理、侵害の調査、適切な措置を調整するために任命されます。
- チームメンバーの役割と責任が定義され、連絡先情報がすぐに入手できるようになります。
-
5.3インシデントの復旧と学んだ教訓:
-
-
- セキュリティ インシデントの影響を軽減し、影響を受けたシステムとデータを復元するために、迅速な措置が講じられます。
- 各インシデントの後、インシデント後のレビューが実施され、学んだ教訓が特定され、将来同様のインシデントが発生するのを防ぐために必要な改善が実施されます。
-
6.物理的なセキュリティ
6.1アクセス制御:
-
- データセンター、サーバールーム、その他の重要なエリアへの物理的なアクセスは、許可された担当者のみに制限されます。
- 生体認証、キーカード、CCTV監視などのアクセス制御メカニズムが必要に応じて導入されます。
6.2機器の保護:
-
- すべてのコンピュータ機器、記憶媒体、およびポータブル デバイスは、盗難、紛失、または不正アクセスから保護されます。
- 従業員は、特に遠隔地で作業しているときや旅行中に機器を安全に保管および取り扱うように訓練されます。
7.トレーニングと意識向上
7.1 セキュリティ意識向上トレーニング:
-
- 定期的なセキュリティ意識向上トレーニングがすべての従業員と請負業者に提供され、セキュリティのベスト プラクティス、ポリシー、手順について教育されます。
- トレーニング セッションでは、パスワード セキュリティ、フィッシングへの意識、データ処理、インシデント報告などのトピックが取り上げられます。
7.2 ポリシーの承認:
-
- すべての従業員と請負業者は、このセキュリティ ポリシーを確認し、理解し、遵守していることを確認する必要があります。
- 謝辞は定期的に更新され、人事記録の一部として維持されます。
8.ポリシーのレビューと更新
このセキュリティ ポリシーは定期的に見直され、テクノロジー、規制、またはビジネス要件の変化を反映するために必要に応じて更新されます。 すべての従業員と請負業者には最新情報が通知され、改訂されたポリシーの遵守が求められます。
このセキュリティ ポリシーを実装および強制することで、当社のホールセール オンライン ビジネス、顧客データを保護し、パートナーやクライアントの信頼を維持することを目指しています。