yl23411永利官网登录 信息安全

川崎重工集团在广泛的领域提供产品和服务，包括企业、政府机构、普通消费者和国防相关领域。我们认识到，确保信息安全（机密性、完整性、可用性）是一个重要的管理问题，因为信息泄露可能会影响信任和品牌价值，并破坏管理的基础。为了保护我们的业务免受此类管理风险的影响，我们妥善管理和保护与客户和业务合作伙伴相关的信息以及与公司业务相关的信息等重要信息资产，并将确保信息安全作为社会责任，并致力于维护和改进。

我们的基本理念是从以下四个角度来对待信息安全。基于这个基本理念，我们制定了川崎重工集团信息安全政策，以及 NIST CSF^※等全球标准框架，我们针对信息系统的使用、引入和开发等运营制定了各种有关信息安全的政策。此外，我们还根据管理整个集团的各种政策制定了公司法规和准则。

1. ①建立一个加强整个团队协作的系统
2. ②了解和管理重要信息等信息资产
3. ③规划和部署适当的措施来识别、防御、检测、响应网络攻击并从中恢复
4. ④全体高管和员工获取信息安全知识并提高意识

• ※NIST CSF（网络安全框架）：美国国家标准与技术研究所发布的用于提高关键基础设施网络安全的框架

负责DX战略的总监扮演CISO的角色，我们组织了以CISO为主席、各业务组织的信息安全官参加的信息安全委员会。该委员会根据管理层和董事会的指示，向各业务部门、关联公司和相关组织共享和部署信息安全政策、计划和各种应对信息安全风险的措施。此外，信息安全委员会向执行委员会提交网络威胁、信息安全风险、问题共享、事件响应状况等信息，并根据重要程度向董事会报告。

我们还设立了信息安全部门，由主管信息安全的执行官领导，负责制定信息安全策略，识别信息安全风险，规划、起草和实施措施，审计以及信息安全事件的检测、响应和恢复。

此外，根据信息安全委员会的指示，各业务机构、所属公司及相关部门与信息安全控制部门合作，从“技术措施”、“教育/培训”和“规则”三个角度系统地确保、维护和提高信息安全，以应对不断变化的信息安全风险。

DX 战略官 (CISO)：代表董事、执行副总裁中谷宏
负责信息安全的执行官：DX战略总部执行官浦部博信

董事会/信息安全委员会

川崎重工集团推进信息安全方面的第三方评估和认证，以下组织已获得信息安全方面的认证。

• 川崎重工业株式会社（项目部、项目推进部、总裁直属）
• Benik Solution有限公司（数字基础设施总部平台服务设计部/运营服务部）

• 贝尼克解决方案有限公司
• K Career Partners 有限公司

• 川崎重工业株式会社（精密机械和机器人公司机器人部门）

作为降低信息安全风险努力的一部分，我们确定了我们的团队需要保护的信息资产，并且为了准确捕获日益复杂的网络威胁，我们每天从信息技术促进局 (IPA) 和 JPCERT/CC 等专业组织、安全供应商和安全分析师那里收集信息。根据收集到的威胁信息，分析可能的攻击者、攻击方式、攻击场景，识别漏洞。然后，我们进行定期评估，以确定信息资产是否得到适当保护，免受分析和识别的威胁和漏洞的影响，并评估风险。
此外，我们还通过内部审计等方式，根据风险评估结果定期检查评估各项措施的落实情况以及基于政策法规的管理运营状况。

为了应对我们集团的供应链风险，我们建立了识别、分析、优先排序和评估风险的流程。
具体来说，我们将在 2022 财年制定“川崎重工集团供应商信息安全指南”，鼓励我们的供应商采取信息安全措施，并努力推广适合每个公司特点的措施。此外，从2024财年开始，作为供应链管理的一部分，我们将在对国内外业务合作伙伴进行的问卷调查中纳入有关信息安全的问题。我们检查业务合作伙伴的信息安全状况，努力降低供应链风险。

为了保护我们的客户和业务合作伙伴的信息以及我们集团的信息资产免受日益复杂和严重的网络威胁的影响，我们建立了必要的系统来掌握网络威胁情况并快速响应事件。信息安全管理部网络防御中心（CSIRT）^※)已安装，包含以下三个功能。

智能功能

• 调查和分析网络威胁并支持事件响应。

检测/分析功能

• 持续监控网络攻击、检测和分析异常情况。

响应函数

• 检测到攻击后，我们立即与相关方协调并及时采取对策，以最大程度地减少损失。

此外，如果检测到事件并且分析确定存在违规行为，我们将确定事件的严重性并采取关闭通信网络和隔离信息设备等措施，以防止进一步的违规行为。此外，我们将根据对业务活动的影响和违规范围，配合相关方调查违规原因，保存证据，并开展恢复工作，使业务活动恢复正常运行。
如果发生严重事件，我们会按照既定路线及时向管理层报告，并会同风险管理部门、公共关系部门等相关部门及时向业务合作伙伴、相关部委、相关组织报告。

• ※CSIRT（计算机安全事件响应团队）：CSIRT（计算机安全事件响应团队）：当公司的信息系统或通信网络中发生构成安全威胁的现象或行为（事件）时，该团队会快速检测到该事件的发生，充当组织内的响应点，并采取诸如防止损害蔓延、收集和传播相关信息以及制定防止再次发生的措施等行动。

我们定期为集团员工提供信息安全教育和培训。
我们为新员工、普通员工、高管等岗位提供量身定制的法律、礼仪、公司规则、事故案例等教育课程。教育培训的目的是防止员工在日常工作中成为网络攻击和网络犯罪的受害者。为了防止在收到可疑电子邮件时造成进一步的损害，我们指示员工立即联系报告台（不要点击附件或链接）并删除电子邮件，并且我们定期使用有针对性的伪攻击电子邮件进行培训练习。
2024 财年，20,274 人接受了信息安全教育，并针对 10,560 人进行了 24 次针对性伪攻击电子邮件培训。

2024 年没有发生信息安全违规事件。此外，还发生了 4 起信息安全违规事件。

川崎重工集团的产品不断发展，以连接网络和云并提供更先进的功能和服务。另一方面，随着数字化的进步，遭受网络攻击等网络威胁的风险不断增加。我们将产品安全定位为产品质量的一个方面，以保护我们的客户及其业务，并致力于保持和提高质量。
除了遵守国内和国际法律、标准以及与客户的合同之外，我们还制定了川崎重工集团产品安全政策，作为通过防止网络攻击造成的侵权来提供安全可靠的产品和服务的政策。此外，我们还制定了法规和指南，以确保整个产品生命周期（从产品和服务的规划、设计、制造到运营）的活动适当的安全。此外，基于产品安全政策，我们制定了设计和开发安全可靠产品的流程（SDLC）。^※))，在机器人业务方面，我们已获得国际标准“IEC 62443-4-1”认证并开始运营。此外，我们还有专门的组织（PSIRT）来监督所有活动，以确保客户所采用的产品能够安全、安心地使用。^※)。作为我们活动的一部分，我们收集有关威胁和漏洞的信息并发布我们的响应状态。此外，我们还建立并开始运营监控系统，以快速检测我们提供的服务的信息安全事件。

• ※SDLC（安全开发生命周期）：旨在确保正在开发的产品安全的开发生命周期，从上游开始在整个过程中实施安全措施。
• ※PSIRT（产品安全事件响应团队）：执行的活动包括发现产品中的漏洞、分析问题、调查其严重性和影响、提供修复和修订版本、向客户和公众提供指导和传播、提供信息、回复查询、接收外部各方的报告以及与业务合作伙伴和相关组织进行协调。

我们小组建立了漏洞报告台，持续收集产品漏洞信息，以提高产品网络安全质量。

我们会根据需要提供有关我们集团产品中已确认的新漏洞的信息，以便客户能够从降低风险的角度采取适当的措施。

《川崎重工集团信息安全报告2025》已发布。
本报告以经济产业省的《网络安全管理指南 Ver30》为基础，旨在向我们的客户和业务合作伙伴适当披露和理解川崎重工集团的信息安全举措。

川崎重工制定并发布了《个人信息处理政策》，这是有关个人信息保护的基本政策。此外，我们还任命了个人信息保护管理者，制定了《个人信息保护规则》作为公司规定，并发行了《个人信息保护手册》，以简单易懂的方式向员工解释了规则，并据此管理个人信息。 2020年，我们制定了《川崎重工集团个人信息保护政策》，规定了川崎重工集团对个人信息的适当处理。
随着《个人信息保护法》修订版于 2022 年 4 月生效，我们修订了相关公司规定《个人信息处理政策》和《个人信息保护手册》。
在个人信息管理方面，我们创建了个人数据处理台账，您可以查看各部门持有的个人信息的处理情况，并定期更新，同时为各部门持有的每一项个人信息建立安全管理体系。

我们公司制定了公司规章，以遵守欧盟 (EU) 和英国制定的《通用数据保护条例》(GDPR)，并规定了个人信息的适当处理。