信息安全管理
重要课题
GRC
管理信息
课题与事业活动之间的关系
不二制油集团明确将信息安全风险列为与经营直接相关的风险之一,并加强该风险的管理。
妥善管理包括业务活动相关的客户和合作伙伴等各方利益相关者提供的重要信息,并持续提供可靠的产品和服务,从而履行企业社会责任。
此外,随着业务活动中IT应用的普及,数字数据的保护越发重要的背景下,为了推进不二制油集团的DX,我们将有力防止非法访问和网络攻击造成的损失,不断努力提高企业价值。
基本方针
针对信息系统所面临的各种威胁,不二制油集团为了确保和维护信息资产的机密性、完整性和可用性,一直致力于提升安全水平。作为本集团的方针,制定了信息管理章程和信息安全章程,并持续开展员工教育,在全体员工中贯彻执行。在技术层面,采取了多层次的对策,诸如建立防御外部非法访问的机制和防御计算机病毒的机制等。今后仍将继续验证、确认和提高信息安全水平。
推进体制
我们正在财务总监(CFO)的管辖下推进相关工作。在该主管董事之下,设置信息管理统括负责人和CSIRT(Computer Security Incident Response Team计算机安全事件应急响应小组)。CSIRT在各集团公司任命信息管理负责人和信息安全管理人,同时征取外部专家的建议,有计划地提升各集团公司的信息安全水平。
同时,作为ESG重要课题*1之一,在作为董事会咨询机构的可持续发展委员会*2中确认相关进展和成果。
目标和实际成果
:达到目标的90%以上、 :达到目标的60%至90%、 :不满60%
| 2022年度目标 | 2022年度实际成果 | 自我评价 |
|---|---|---|
| 对反映风险趋势的集团政策“信息安全章程”进行了审查和修订 |
|
考察
COBIT*等级4证明要求,除了证明IT安全保障活动的实施、能够测定信息资产保护及IT安全保障的遵守状况这2点之外,还要求在需要改善的情况下能够妥善处理。以满足这些要求为目的所导入的安全内部监查,在包括安全内部监查的CSIRT的评估活动中,2022年度确认了5家集团公司的对应状况。通过这些活动稳步推动了信息安全管理的PDCA循环。
对于审计结果中需要改善的项目,在CSIRT支援下,集团公司制定了相应施策,在得到各公司信息管理负责人的批准后推进改善活动。
* 衡量IT治理成熟度的评估框架,以0-5段为标准,5为最成熟水平(优化)。
下一步行动
为了向各公司落实并切实遵守2022年度修订的集团政策“信息安全章程”,在IT和OT*两方面继续支持安全对策。
- 继续推动包括安全内部监查在内的CSIRT的对策状况评估活动(2023年度计划:IT评估6家公司,OT评估4家公司)
* 用于控制和操作工厂等控制设备的控制系统和技术。
具体措施
教育
以不二制油集团公司的从业人员为对象,从2018年度起,实施以线上学习为中心的提高IT安全意识教育活动。2022年度集团的受训率为96.2%*,今后,我们将以100%为目标,努力充实教育内容,鼓励员工接受该培训。
- * 对象者:拥有公司发放的邮箱地址及日常工作中使用电脑的董事、执行董事及员工。
安全内部监查
有关不二制油集团公司的安全要求的遵守状况,在把握明确的证据的同时,为构筑用于修正的PDCA循环,集团从2020年度起实施安全内部监查。2023年度更新了监查评估项目,包括OT的安全对策状况检查,业务部门利用的云服务的检查,继续推动内部监查和自我检查。