6.システムリスク管理診断および定期監査サービス
システムリスク管理の必要性
インターネットに代表されるeビジネスの拡大に伴い、局所的かつ対症療法的な対策にとどまらず、セキュリティ管理を含めた総合的なシステムリスク管理の必要性が高まってきています。
金融監督庁は、1999年7月、「金融検査マニュアル」を公表し、銀行などに対してシステムリスク管理態勢の整備を求めています。これは今後証券、生損保業界への展開も予想されます。
企業経営において、情報資源が最重要視されている現在、改めて企業を取り巻くシステムリスクを認識し、総合的なリスク管理態勢を確立することが不可欠です。
このシステムリスク管理の必要性は、金融業界に限った話ではなく、製造業や流通業にも必須の要件であり、さらに今後の個人情報の保護に関する法律を見据えるならば、個人情報の取り扱いという観点からほぼすべての企業で必須になると思われます。
サービス内容
現状の情報システムにおける安全対策やセキュリティ対策の実施レベルの診断・評価を支援します。
実施レベルの診断・評価には、金融監督庁の「システムリスク管理態勢の確認検査用チェックリスト」を検査基準として調査を行います。
さらに、「金融機関等コンピュータシステムの安全基準書」および「同解説書」、「金融機関等におけるコンティンジェンシープラン策定のための手引き」などを参照します。
リスク管理サイクルの確立
情報システム技術は常に進化しており、それを使う技術も変化してくるので、継続的なシステムリスク管理のマネジメントサイクルを確立することが重要となります。そのための定期的な外部監査も支援します。
情報化投資を取り巻く「脅威」の例
自然的: 地震、風水害、火災など
社会的: (デマなどのよる)故意の集中利用など
技術的: 故障、動作不良、陳腐化など
人為的: (故意および過失による)物理的破壊、不正改竄、漏洩、盗聴、
ウィルス配布など
報酬・その他
調査対象となる部門数や面談者数などをお聞きした上で御見積もりします。このサービスは、情報化投資最適化コンサルティング契約(主契約)に従属するオプション契約となります。契約にあたっては、主契約が必要となります。