IT Risk Managementでは、情報化運営に関連するリスクを正確に把握し、包括的 且つ 適切にコントロールするのに必要な手法やノウハウを提供します。
これら手法・ノウハウを活用することで、情報システムの機密性・完全性・可用性を維持し、情報システムを安全に運用することが可能となります。
IT Risk Managementは、内部統制(IT統制)、情報セキュリティ管理、IT-BCPの3つのメソドロジから構成されています。
内部統制(IT統制)
本メソドロジでは、会社法やJ-SOX等の内部統制のうち、IT統制の整備・運用に関わる手法を提供します。具体的には、内部統制整備で求められる必要なドキュメントのテンプレートや、内部統制の有効性を継続的に評価・改善する手法やノウハウを提供します。これらテンプレートを適用することで、短期間で抜け漏れのないIT統制を整備・運用することが可能となります。
利点・期待効果
- 短期間で内部統制に必要な文書を整備することができます。
- ポイントを抑えた効率的な統制で、効果的な内部統制を実現することができます。
- 内部統制の有効性を継続的に向上させることができます。
内部統制の発展段階と実施内容
内部統制の整備から運用・改善までの各フェーズにおける実施内容と施策のテンプレート
NRI内部統制 文書化3点セット
リスクコントロールマトリクス(RCM)、IT統制に関わる業務フロー図、業務記述書のテンプレート
情報セキュリティ管理
本メソドロジでは、情報セキュリティに関わる各種標準を提供します。具体的には、ISMSをベースとした、情報セキュリティ管理の標準ポリシー/ガイドラインや、技術対策の実装に向けた情報セキュリティ対策基準等を提供します。
また、情報セキュリティのPDCAサイクル確立に向けた、アセスメントシートやセキュリティ対策レベルのスコアリング基準等を提供します。これらテンプレートを適用することで、継続的且つ網羅的な情報セキュリティ対策の強化を図ることが可能となります。
利点・期待効果
- 現状の情報セキュリティ対策レベルを可視化し、潜在リスクを把握することができます。
- 短期間で情報セキュリティに関わる規程・基準を整備・統合することができます。
- 情報セキュリティ対策レベルを継続的に向上することができます。
情報セキュリティ管理規程体系
要領・標準・マニュアルに層別化された規程体系、及び 各規程にて整備すべき事項、及び 文書のテンプレート
情報セキュリティ対策集
想定される脅威に対する具体的な対策の一覧集(人的対策・技術的対策・物理的対策に分けて整理)
IT-BCP
本メソドロジでは、地震やパンデミック等のディザスター環境下において、必要なITサービスの提供を継続させる、又は 早期復旧するのに必要な手法やテンプレートを提供します。具体的には、重要なITサービスの特定方法や、ITサービス継続計画書や復旧手順書等、災害発生時に利用する各種ドキュメントのテンプレートを提供します。これら手法・ノウハウを活用することで、効果的なITサービス継続計画を短期間で策定・導入することが可能となります。
利点・期待効果
- 災害発生時に優先復旧させるITサービスを明確にすることできます。
- 災害発生時の各組織の役割や復旧に向けた対策・手順を明確にすることができます。
- 定期訓練・テストを通じて、災害発生時のIT要員の動きを慣熟させることができます。
ITサービスの重要性判定
業務停止に伴い、各業務がどの程度影響を受けるのかを9つの視点より分析し、業務毎の重要性を定義した上で、被災時の目標復旧時間(RTO)や目標復旧ポイント(RPO)を決定する手法
ITサービス継続計画のテンプレート
災害発生から復旧までを4つのフェーズに分け、各フェーズにおける復旧業務フローやチェックリスト、実際の災害対策本部にて使用する各種テンプレート