フレゼニウス カービの情報セキュリティ

フレゼニウス カービでは、情報セキュリティが顧客、患者、ビジネスパートナーにとって重要であることを認識しています。私たちは、責任ある管理、適切な使用、法的および規制上の要件に従った保護を通じて、情報セキュリティの維持に努めます。

 

情報セキュリティ組織

私たちは、組織内で定義されたサイバーセキュリティの役割と責任を概説するサイバーセキュリティ・ポリシーを文書で公表しました。

当社のセキュリティチームは、情報セキュリティ、グローバルなセキュリティ監査、コンプライアンス、およびフレゼニウス・カビのハードウェアとインフラを保護するためのセキュリティ管理の定義に重点を置いています。セキュリティチームは、情報システムのセキュリティに関する通知を定期的に受け取り、セキュリティアラートと勧告情報を定期的に組織に配布しています。

情報セキュリティ能力モデル

当社は、業界のベストプラクティスに基づくその他のセキュリティ対策によって補完される重要セキュリティ対策（CIS 18）に基づく情報セキュリティ能力モデルを採用しています。これにより、セキュリティに関するコンプライアンスの全体的なアプローチを維持することができます。  また、定期的にセキュリティ能力の成熟度評価を行い、その結果をフレゼニウス カービの経営陣に報告しています。

セキュリティ コンプライアンス管理

私たちは、フレゼニウスグループの基本要件に沿った一連の規則、すなわち業界のベストプラクティスに沿ったフレゼニウスグループ全体の内部統制カタログを作成中です。

フレゼニウス カービは、社内ポリシー、サイバーセキュリティ関連法および規制の遵守を確認するために、正式な内部監査プログラムを実施しています。

安全なデータ管理

当社は、顧客、患者およびビジネスパートナーのデータを保護するために、適切なセキュリティ対策を適用するためのデータ分類プロセスを確立しています。

私たちは、可能かつ実用的な限り、輸送中および保管中の機密データを暗号化します。

アクセス コントロール管理

フレゼニウス カービの情報システムへのアクセスには、役割に基づくアクセス制御が導入されています。フレゼニウス カービの情報システムへのアクセスには、役割ベースのアクセス制御が導入されています。

当社のデータベース、システム、環境における機密データへのアクセス制御は、知る必要性の原則に基づいて設定されています。さらに、最小特権の原則に基づいてのみアクセス許可を与えます。

情報システムのユーザーには、固有のユーザーアカウントとパスワードが与えられ、パスワードの要件が定義され、実施される。

管理者権限を専用の管理者アカウントに制限しています。

仮想プライベートネットワーク（VPN）ソフトウェアは、主要システムへの安全なインターネットベースのリモートアクセスを可能にするために、ユーザーに提供されています。また、リモートネットワーク アクセスには多要素認証を義務付けています。

脆弱性とパッチ管理

私たちは、オペレーティングシステム、エンドポイント、ネットワークインフラに最新のセキュリティパッチとアップデートを適用し、脆弱性への暴露を軽減するよう努めています。

パッチ管理プロセスは、ベンダーがリリースするセキュリティパッチの更新を実施するためのものである。

私たちは、社外に露出した資産と社内の資産を定期的にスキャンしています。

侵入テスト

私たちは、資格のある独立したペンテスト・パートナーであるCobalt Labs Inc.による年2回の侵入テストで発見された脆弱性を評価し、修正するためのプロセスを確立しています。

インシデントレスポンス管理

当社には、セキュリティインシデントが発生した場合に発動される、正式なインシデント対応計画と関連手順がある。インシデント対応計画では、主要担当者の責任を定義し、通知とエスカレーションのプロセスと手順を特定しています。インシデント対応要員は訓練を受け、インシデント対応計画の実行は定期的にテストされます。  

当社は、インシデント対応の業界標準フレームワークであるSANSインシデント対応プロセスに従い、セキュリティインシデントの準備、特定、予防、検出、および対応を支援します。私たちは、フレゼニウス サイバーセキュリティ緊急対応チーム（CERT）の支援を受けています。

エンドポイントプロテクション

当社のエンドポイントには一元管理されたウイルス対策ソリューションが装備されており、エンドポイント上で常に最新のウイルス定義が利用可能で、すべてのエンドポイントで一貫したセキュリティポリシーが適用されるようになっています。

すべてのノートパソコンはフルディスク暗号化されており、鍵はセキュリティ保管庫で管理されている。

私たちは、定義された非アクティブ時間が経過すると、企業資産のセッションが自動的にロックされるように設定しました。

モバイルデバイスはモバイルデバイス管理システムの対象となり、当社のセキュリティポリシーに従って設定されたデバイスからのみアクセスが許可されます。このセキュリティポリシーでは、デバイスにアクセスするためにコードを入力する必要があり、紛失または盗難が報告された場合は遠隔消去が可能です。

ネットワーク & Eメール セキュリティ

ネットワークセグメント間のトラフィックフィルタリングを行う。

当社の環境内では、フレゼニウス カービが管理する無線ネットワークのみが許可されています。ワイヤレスアクセスのセキュリティ管理には、企業アクセスとゲストアクセスの分離、ワイヤレスキーのローテーションが含まれます。

私たちは、ネットワークから不適切なウェブサイトへのアクセスをブロックするURLフィルタリングソフトウェアを定期的に更新するソリューションを導入しています。

当社のEメールゲートウェイは、悪意のあるトラフィックをフィルタリングし、フィッシングを阻止し、本物の通信のみを許可するバリアとして機能します。

ロギング & モニタリング

アプリケーションとインフラシステムのログは、トラブルシューティング、セキュリティレビュー、および権限を与えられた担当者による分析のために保存される。ログは規制要件に従って保存される。

ログの相関と分析のために、企業資産全体で一元化されたセキュリティ・イベント・アラートが実装される。セキュリティ関連の相関アラートで構成されたログ分析プラットフォームも、このセーフガードを満たす。

従業員のトレーニングと意識向上

フレゼニウス カービの従業員には、サイバーセキュリティに関する意識向上トレーニングへの参加が義務付けられています。この目的のために、私たちはサイバーセキュリティのトピックを提示し、理解しやすくするための様々なフォーマットを提供しています。当社のスローガンは「サイバーセキュリティはチームスポーツである」であり、この精神に基づき、セキュリティに関するニュース記事やブログ記事など、さまざまな啓発キャンペーンを定期的に実施し、従業員が当社の防衛戦略において積極的なメンバーとなるよう鼓舞するよう努めています。

当社のセキュリティ意識向上プログラムに付随して、当社のITシステムにアクセスできるすべての人に四半期ごとにフィッシング シミュレーション テストを提供しています。四半期に一度のキャンペーンは、フィッシングメールに対する知識と警戒心を高めるため、セキュリティ意識の向上に役立っています。

物理的セキュリティ

フレゼニウス カービのオフィスでは、物理的な入退室管理が行われています。入退室管理には、建物のセキュリティやフレゼニウス カービ敷地内への安全な出入りが含まれます。フレゼニウス カービのオフィスや製造工場への入館には、近接カードによる入館が義務付けられています。来訪者の入退室管理については、すべての来訪者に受付への出頭を義務付けるなど、明確な手順が定められています。