Cloopen 株式会社(以下、当社)は、Simple Connectクラウドサービス事業を正常かつ円滑に行う上で、クラウド情報セキュリティの確保は重要課題の1つであると考えております。当社は、情報資産の適切な保護のため、基本方針、クライドサービスセキュリティ方針及び方針群を定め、以下のとおり実施し推進します。
I. 方針
1. 信頼性の向上
当社は、情報資産の消失、盗難、不正使用、漏洩を防止し、情報セキュリティの信頼性向上を目的に、当社の情報資産を適切に保護します。
2. 適用範囲
当社におけるクラウドサービス事業全般をISMSの対象とします。
3. 情報資産の保護
当社は、情報資産を、機密性・完全性・可用性の視点から重要性を認識するとともに、適切な管理を行います。
4. 法令・規範の遵守
当社は、当社が取り組む情報セキュリティに適用される法令その他の規範を遵守します。
5. 教育・研修の実施
当社は、情報セキュリティに関し、全社員に必要な教育、研修を実施し、遵守の徹底を図ります。
6. セキュリティ事件・事故の対応
当社は、セキュリティ事件・事故が発生したとき、またはその予兆が認められたときは、速やかな対応および手続きをおこなうように努めます。
II. クラウドサービス・セキュリティ方針
1. クラウドサービスの設計及び実装
当社は、お客様からの情報セキュリティ要求事項及び、当社にて確立した本方針を適用し、クラウドサービスの設計及び実装を行います。
2. クラウドサービスのリスク
当社は、提供するクラウドサービスにおいて定期的にリスクアセスメントを実施し、特定されたクラウドサービスのリスクに対する管理策を実施します。
3. クラウドコンピューティング環境の隔離
当社は、仮想化されたマルチテナント環境を利用して、クラウドコンピューティング環境を論理的に隔離し、セキュリティの確保を行います。
4. お客様のデータへの当社スタッフによるアクセス及び保護
当社は、当社の規約に記載しているサービス提供内容の履行に必要な場合を除き、お客様の事前許可なくお客様のデータへアクセスいたしません。
5. お客様への変更通知
当社は、提供するクラウドサービスに関する仕様変更等については、サービス管理画面への掲載等を通じて情報提供いたします。
6. アクセス制御
当社は、提供するクラウドサービスにお客様がアクセスする際には、適切な認証方式を整備しています。
7. アカウント管理
当社は、お客様のアカウントは、当社が定める利用規約に基づき、お客様の責任において作成し管理していただきます。
8. 情報共有
当社は、提供するクラウドサービスの利用に関わる違反を検知した場合ならびに情報セキュリティを損なう事象を検知した場合は、違反の通知、調査およびフォレンジック支援のための情報共有を行います。
9. 外部クラウドサービスの利用
当社は、外部クラウドサービスを利用する場合は、情報へのアクセスとセキュリティ保護、マルチテナント環境管理、ユーザの利用環境、特権的アクセス、地理的所在地による制約を考慮し、当社が求めるセキュリティレベルを満たすプロバイダーを選定しております。
10. 法規制および契約上の義務の遵守
当社は、提供するクラウドサービスにおいて適用する個人情報保護の法規制、社内規程、及び契約上の義務を遵守します。
III. セキュリティ管理策方針
1. 情報転送方針
a) 情報転送の手段は限定する。
b) 必要に応じて転送情報を保護する。
c) 顧客との情報転送は、合意を得る。
2. アクセス制御方針
a) システムへのアクセス権は、業務の必要に応じて付与する。
b) アクセス権は定期的にレビューする。
c) パスワードは管理する。
d) 必要外の外部接続は行わない。
3. 委託方針
a) 委託先は限定する。
b) 委託先とセキュリティに関する契約を明確にする。
c) 委託先とのセキュリティに関する契約は定期的にレビューする。
d) 委託先に付与するアクセス権は限定し、定期的にレビューする。
4. クラウドサービス利用方針
a) 利用するクラウドサービスは限定する。
b) クラウドサービスのアクセス権は、責任・権限及び業務に応じて付与する。
c) 契約終了時に情報を削除する。
5. プライバシー保護方針
a) 個人情報の取得、利用は限定する。
b) 関連する法規制等を遵守する。
c) 必要な取組み等の情報を開示する。
6. リモートワーク方針
a) 責任及び権限を明確にする。
b) 業務及び作業エリア等を限定し、制限する。
c) セキュリティ上の制約条件を明確にする。
7. クリアデスク・クリアスクリーン方針
a) 全従業員は、常に机上を整理整頓しておき、就業後、机上に不必要な情報資産を放置しない。
b) 取扱いに慎重を要する重要な情報資産は、必要のない場合、特にオフィスが無人の時には、施錠して保管する。
c) コンピュータ及び端末は、長時間離席時にはログオフ状態にすること。利用しない時は、施錠又はパスワードにより保護する。
d) パスワードによって保護されたスクリーンセーバの設定を行う。
e) 郵便物の受渡場所、及び無人状態のファクシミリ装置には、長時間、情報資産を放置しないこと。また、機密性の高い文書はプリンタから速やかに引取る。
8. 記憶媒体管理方針
a) 記憶媒体は限定する。
b) 記憶媒体の持込及び持出は制限する。
c) 記憶媒体の処分は管理する。
9. ユーザーエンドポイントデバイス方針
a) デバイスは、登録して安全な領域に保管する。
b) デバイスは、セキュリティ設定を施す。
c) ソフトウェアのインストールは制限され、バージョンアップ及びパッチ適用は定期的に実施する。
d) ファイルの暗号化を考慮する。
e) マルウェアから保護する。
f) デバイスの外部持ち出しは制限する。
10. バックアップ方針
a) バックアップは限定する。
b) バックアップは悪影響を受けない管理とする。
c) バックアップは分散する。
11. 暗号化方針
a) 暗号化の利用は限定し、かつ、制限する。
b) 暗号鍵の管理者は限定する。
c) 暗号鍵は技術的脆弱性を含め管理する。
制定日:2023年12月1日
Cloopen株式会社
取締役社長 福山 宇