RWSのセキュリティ

RWSは、お客様にとって情報セキュリティが重要であることを理解しています。グローバルな組織である当社は、自社の情報セキュリティ管理システム(ISMS)の構造としてISO27001のフレームワークを採用しています。 

広く認知され、業界でも認められているこのフレームワークを使用することで、RWSはお客様の要件に対応するための堅牢なベースラインを設定することができます。こうしたアプローチにより、当社は多くの製品やサービスのISO 27001:2013認定を取得し、人、プロセス、テクノロジーをサポートしています。詳細は、当社の最新のISO 27001認定書でご覧いただけます。 

このページには、製品ごとのセキュリティ関連ドキュメントに加えて、当社の高度な情報セキュリティポリシーの一部を掲載しています。情報セキュリティに関するご質問については、当社までお問い合わせください。

SDL - Global Information Security Policy
グローバル情報セキュリティポリシー
SDL - Global ISMS Policy
グローバル情報セキュリティ管理システムポリシー
RWS Language Cloudのセキュリティに関するホワイトペーパー
SaaSのセキュリティに関するホワイトペーパー
ISO27001 Certificate

ISO 27001認証 

RWS Group

ISO 27001認証 

規制業界

FAQ

RWSの調達プロセスでは、新しいサプライヤはオンボーディングの前にセキュリティリスク評価を受ける必要があります。サプライヤには、提供する商品/サービスの重要性およびアクセスする情報や施設の機密性など、多くの基準に従ってリスクカテゴリが割り当てられます。

はい。RWSのグループサプライヤセキュリティ管理ポリシーでは、サードパーティのサプライヤのセキュリティ要件を規定しています。

RWSは、公共インフラストラクチャの脆弱性スキャンを毎月実施しています。脆弱性に対してはリスク評価が行われ、グローバルセキュリティテストポリシーに従って適切な緩和策が適用されます。情報セキュリティチームのメンバーは、グローバルIT変更諮問委員会に所属し、提案された変更によるセキュリティへの影響を評価します。

「RWSのグループセキュアソフトウェア開発ライフサイクルポリシーでは、製品の安全な開発方法を規定しています。セキュリティは、要件の収集、設計、実装、検証、リリースの各開発ステップの一部として組み込まれています。変更はリリース前にテストされます。

はい。RWSはService CentreとServiceNowの両方を使用して、チケットの発行から割り当てや解決までのワークフローを管理しています。SLAは、インシデント/変更または問題の重要度に応じて設定されます。

はい。RWSにはITセキュリティに関する規定と利用規定があります。

RWSは、サービスの実施に必要な場合、また契約で合意された場合にかぎり、顧客データを保持します。

はい。RWSは専任のソフトウェアおよび資産管理(SAM)チームを設置するとともに、RWSネットワーク上でLansweeperおよびFlexeraという資産ツールを使用しています。Lansweeperは、所有者、資産タイプ、インストール済みのソフトウェア、保証、構成の詳細情報など、RWSの企業ネットワーク上の項目を自動的に検出して記録します。すべての資産には所有者が割り当てられています。

はい。パッチは、一元化されたパッチ適用アプリケーションを使用して、エンドポイントに自動的に適用されます。サーバーのパッチ適用は、年1回以上実行される更新によって行われます。このパッチ適用は通常、毎月の定期メンテナンス期間中に実行されます。その他のタイプ(SQL、アンチウイルスなど)のパッチは、必要に応じてその都度実行されますが、開発システムやステージングシステムが存在する場合は、それらを稼働する前にテストする必要があります。

はい。変更管理の役割と責任は、経営陣のほかIT担当者やRWSシステムのテスターなどの関係者が含まれるCABのプロセスによって管理されます。システムの変更は、実装/導入の前にテストされます。緊急的な変更は、標準的な変更管理プロセスと同様の方法で実行され、変更の記録、テスト、合意、実施が確実に行われるようになっています。変更の実施はリリース管理の任務ですが、大規模なプロセスはCABの任務です。

はい。RWSには、論理アクセスの管理に使用するプロセスを規定する論理アクセスポリシーがあります。

はい。RWSのリスク評価プログラムはRWSのエグゼクティブが所有し、関連する社員に伝達されています。

RWSのセキュリティリスク管理プログラムの概要は、グループセキュリティリスク管理ポリシーに記載されています。この中では、セキュリティリスクの特定と管理に使用する手法についても言及されています。たとえば、資産の特定、影響分析、リスク評価、管理の特定と適用、管理の有効性の監視などです。リスクの評価は定期的に、またはRWSの情報や資産の機密性、完全性、可用性に影響を与える可能性のある重大な変更が生じた場合に行われます。リスク管理プロセスの監督とガバナンスは、必要に応じて、セキュリティガバナンス、リスクおよびコンプライアンス担当のマネージャーと情報セキュリティ運営委員会が実行します。

はい。RWSはデータプライバシーを非常に重視しています。RWSのプライバシーポリシーについては、www.rws.com/about/privacyのプライバシー情報でご確認いただけます。

はい。www.rws.com/jp/securityでISO 27001認証をご確認いただけます。

はい。RWSのクラウド運用部門がホストするRWSソフトウェアは、SOC 2 Type IIレポートの対象となっています。レポートの概要は、ご要望に応じてご覧いただけます。

はい。RWSの情報セキュリティプログラムは、Chief Information Officerが所有しており、年間を通じてエグゼクティブレベルの情報セキュリティ運営委員会が管理し、ビジネス目標を継続的に支援できるようになっています。

はい。RWSのChief Information Officerが、情報セキュリティのエグゼクティブスポンサーです。RWSの情報セキュリティ管理システムの管理とセキュリティ要件への継続的なコンプライアンスに関する日々の任務は、RWSのセキュリティガバナンス、リスクおよびコンプライアンス担当のマネージャーが率いる小規模なチームが担当しています。

はい。RWSの情報セキュリティポリシーは、情報セキュリティのエグゼクティブスポンサーによって承認および署名されており、その中で、RWSが情報セキュリティ管理システムを維持し、継続的に開発するための高度なセキュリティ要件が設定されています。

RWSのポリシーは毎年1回以上見直されています。社内文書は、NDA/MNDAの下での監査中に、オンサイトまたはリモートで閲覧することができます。 

RWSグループISMS情報セキュリティポリシー
RWSグループ情報セキュリティポリシー
RWSグループセキュリティリスク管理ポリシー(社内)
RWSグループセキュリティテストポリシー(社内)
RWSグループ論理アクセスポリシー(社内)
RWSグループビジネス継続性ポリシー(社内)
RWSグループグローバル分類および処理ポリシー(社内)
RWSグループ情報セキュリティインシデント管理ポリシー(社内)
RWSグループ物理的セキュリティポリシー(社内)
RWSグループプライバシーポリシー(社内)
RWSグループITシステムポリシー(社内)
RWSグループ暗号化制御ポリシー(社内)
RWSグループサプライヤセキュリティ管理ポリシー(社内)
RWSグループセキュアソフトウェア開発ポリシー(社内)
RWSグループ情報セキュリティ管理システム利用規定(社内)
RWSグループ情報セキュリティ管理システムセキュリティ例外ポリシー(社内) 

RWSのポリシーは社内のイントラネットで公開されており、RWSの全社員が閲覧できます。ポリシーは、必須のセキュリティおよびプライバシーの意識向上トレーニングを通じて、RWSの社員に定期的に伝達されます

はい

はい。RWSにはセキュリティポリシーの例外プロセスとポリシーがあります。

はい。RWSの情報セキュリティポリシーのコンプライアンス違反については、グローバル情報セキュリティチームがレビューや調査を行い、その後、経営陣や関連する人事チームに回されて、必要に応じさらなる調査や対応が行われます。制裁はインシデントの重大度に応じて異なり、解雇を含む懲戒処分に発展する場合もあります。

RWSの法務部門は、RWSに適用される、関連の法的要件や規制要件を監視します。情報セキュリティに関する規制要件については、法務部門の責任者と情報セキュリティのグローバル責任者の間で協議され、必要に応じてセキュリティプログラムが変更されます。

そうした法的要求はすべてRWSの法務チームが処理し、そこでは契約上の義務や法的要件が考慮されます。

はい。RWSのグループ情報セキュリティインシデント管理ポリシーは、RWSのイントラネット上で公開されており、全社員がアクセス可能です。内容としては、監視と準備、特定、封じ込め、緩和、復旧、フォローアップなどの項目があります。

はい。RWSのグループ情報セキュリティインシデント管理ポリシーは、RWSのイントラネット上で公開されており、全社員がアクセス可能です。内容としては、監視と準備、特定、封じ込め、緩和、復旧、フォローアップなどの項目があります。

はい。RWSのネットワークサプライヤはトラフィックを監視し、異常なアクティビティが発生した際にはアラートを発信します。RWSは、ネットワークの主要な領域にIDS/IPSを導入し、侵入の検出と防止を行っています。またエンドポイントには、適切な予防/検出ソフトウェアがインストールされています。

はい。情報セキュリティ意識向上トレーニングは、RWSの担当者、契約翻訳者、個人翻訳者のオンボーディングプロセスの基礎をなす部分です。受講後は、コンピュータを使った情報セキュリティトレーニングが、専用の学習モジュールで毎年全社員に提供されます。さらに、情報セキュリティ意識向上トレーニングが年1回の行動規範トレーニングの一環として、また当社の「Think Security」キャンペーンを通じて実施されます。

はい。新規の社員全員に身元確認と「就労権」チェックを行っています。組織内での職務や国の義務で必要とされる場合は、関連する法律に従ってそれ以上の経歴確認を行うこともあります。

RWSの個人翻訳者は通常、経歴確認の対象とはなりません。ただし個人翻訳者とは、最低限のセキュリティ対策と個人翻訳者の機密保持を含むベンダー契約を締結しています。また、個人翻訳者の経歴スクリーニングが、現地の法律に従い、契約上の合意として顧客から要求される場合があります。

はい。新規社員は全員、必須の情報セキュリティ意識向上トレーニングと行動規範トレーニングを修了する必要があり、これらのトレーニングにはセキュリティ要素も含まれています。また解雇時には、社員に対し雇用関係終了後のセキュリティに関する責任について注意喚起しています。さらに、資産はすべて回収され、アカウントはレビューと削除が行われるまで一時停止されます。

はい。RWSのグループ分類および処理ポリシーは、データの破壊やメディアの無害化の領域を対象としています。ポリシーを実施するための具体的なプロセスは、それぞれのテクノロジー所有者が所有し、管理します。