HOME > コンサル支援 > TISAS


大型代理店・ブローカー・少額短期保険向け
情報セキュリティリスク対策評価・監査関連サービス

TMSNnet Information Security Assessment Service TISAS


     

■保険に精通したトムソンネットが、代理店の情報セキュリティ取組状況を評価
■業務特性・規模等踏まえた適切なセキュリティ管理態勢構築を支援

IT技術の進化に伴って、システムへの依存度が高まり、システムに係るリスクが大きくなってきています。
システムに係るリスクは、システムの企画・開発の不備、停止または誤作動、不正使用等が想定されますが、最近では、不正侵入、機密情報/個人情報の漏洩、保存データへの改ざん・破壊等に起因して被る経済的及び社会的信用の損失等、情報キュリティリスクへの懸念が高まっています。

各企業・組織においては、情報セキュリティリスク抑制や、顕在化した場合の影響最小化に向けて、「情報セキュリティマネジメト」をはじめとする種々の対策を講じられていますが、変化・進化するIT技術や社会環境の下で、求められる情報セキュリティ対策も変化・進化し続けられることが求められ、その対応に追われている状況にあると思われます。一方、情報セキュリティ対策には、それなりの労力・コストが必要となり、対策強化をどこまで行い続ければいいのか悩まれている企業・組織もあります。

トムソンネットでは、これまでの実績をもとに、「大型代理店、ブローカー、少額短期保険」を対象に、情報セキュリティリスク対策について、網羅性や妥当性、経済合理性を考慮した適切な対策が講じられているかを確認・評価を行うサービスを提供しています。
提供するサービスは、各社の取組状況を踏まえて、次のようなメニューを用意しています。
 (サイバーセキュリティリスク対策評価については別途ご相談)

 
サービスメニュー 概要 手順・留意点等
①  情報セキュリティリスク
      明確化・可視化支援
  ~リスクの発見・特定~
  時代と共に変化・進化する脅威や社会環境等を確認し、それを下に「守るべき情報資産と情報セキュリティリスク」の明確化・可視化を行ないます。これにて、大まかなリスク評価や取組状況を確認することが出来ます。   リスク把握・認識の網羅性と作業効率や分かり易さを考慮して、ある程度粗い粒度で確認・評価します。確認・評価は自己確認・評価、資料確認、インタビュー等にて行います。期間は約3週間程度。Outputとして当該組織の情報セキュリティリスク俯瞰図を作成します。
                    別紙-1 ご参照
②  情報セキュリティリスク
    対策評価・監査支援
  ~リスクの評価~

  a.「規程・体制」等の組織的・
    人的対策の網羅性・妥当性
    評価

  b.「セキュリティゾーニング
    や不正アクセス防御」等の
    物理的・環境的、技術的
    対策の妥当性・実効性評価

    本評価をお請けするにあたっては、aのみ、もしくはa・bにてお請けいたします。a・bの場合も、二段階にてお請け致します。
(a実施時にbの作業量を見積もります。)
    明確化した「守るべき情報資産と情報セキュリティリスク」に対する適切・的確な守り方がなされているかについて確認・評価します。評価・確認は左記の通り段階的に行います。

    評価にあたっては、金融庁「保険検査マニュアル」や情報セキュリティマネジメントシステム要求事項(国際規格:ISO/IEC 27001、日本規格:JIS Q27001)にて求められる「組織的な取組状況」、「物理的(環境的)施策」、「システム・通信NWの運用管理」、アクセス制御、開発・保守におけるセキュリティ対策」、「情報セキュリティ事故対応」等の項目を参考にします。

    また、自社内に確認・評価する担当・組織がある場合は、当該組織の業務執行を支援します。
なお、オプションにて、自社内において継続的な統制・自浄機能を効率的に実現していけるように
CSA (Control Self Assessment)方式による評価手法を活用することも出来ます。
        
a.  「規程・体制」等の組織的・人的対策の形式的
    要件について、資料確認、インタビュー等にて
    行います。
    期間は1か月程度。Outputとして情報セキュリ
    ティリスク対策評価結果を作成します。
                 別紙-2 ご参照
b.  「セキュリティゾーニングや不正アクセス防御」
    等の物理的・環境的、技術的対策について、
   「仕組み」、「ルール」、「周知徹底」、「確認・評
    価」に着眼し、マネジメントプロセスが確立され、            
    実効性が担保されているかについて、資料確認や
    インタビュー等にて、エビデンスベースの確認・
    評価を行います。
  リスクベースアプローチの考えに則り、必要に
    応じて粒度を細かくしていきます。期間は1~3
    か月程度。Outputとして情報セキュリティリスク
    対策評価結果を作成します。   別紙-2 ご参照

============================================

当社は、経済産業省が定める「情報セキュリティ監査制度(*1)」に則った監査を実施する「情報セキュリティ監査企業」として、「情報セキュリティ監査企業台帳」(*2)に登録されています。
http://www.meti.go.jp/policy/netsecurity/is-kansa/

(*1)「情報セキュリティ監査制度」:国内において情報セキュリティ監査を広く普及させるため、経済産業省より告示された制度です。
    「情報セキュリティ監査の標準的な基準の策定」、「情報セキュリティ監査を行う主体のあり方の提示」の2本の柱で構成されています。
(*2)「情報セキュリティ監査企業台帳」:「情報セキュリティ監査制度」に基づき監査を実施することを自ら宣言し証明するために企業
    (個人事業主も含む)が登録申告し、経済産業省がとりまとめ、「情報セキュリティ監査企業」として掲載した台帳です。
      台帳を利用者に公開することで、情報セキュリティ監査の普及を図ります。

============================================