信息安全管理
重要课题
GRC
治理GRI:3-3
不二制油集团,在由代表董事社长兼CEO担任委员长的董事会咨询机构的可持续发展委员会*1上,针对ESG重要课题*2之一GRC*3,从多方利益相关者的角度审议和监督,并向董事会报告。同时,在财务总监(CFO)的管理下,推进与“信息安全管理”相关的具体举措。
同时,在该主管董事之下,设置信息管理统括负责人和CSIRT(Computer Security Incident Response Team计算机安全事件应急响应小组)。CSIRT在各集团公司任命信息管理负责人和信息安全管理人,同时征取外部专家的建议,有计划地提升各集团公司的信息安全水平。
-
*1 治理,战略及指标与目标,风险管理>治理
https://www.fujioilholdings.com/ch/sustainability/sustainability_management/
-
*2 治理,战略及指标与目标,风险管理>战略及指标与目标
https://www.fujioilholdings.com/ch/sustainability/sustainability_management/
-
*3 GRC:治理、风险、合规性
战略
本公司集团,明确将信息安全风险列为与经营直接相关的风险之一,并加强对该风险的管理。
如果疏忽了应对这些风险,可能会因受网络攻击而导致系统崩溃和机密信息泄露等,直接影响业务的连续性进而使企业价值受损。通过推进风险对策,赢得利益相关者的信赖,为提高企业价值创造机会。
本公司集团作为集团政策制定了《信息管理章程》和《信息安全章程》(2022年度修订),继续推进员工教育,力求贯彻对章程的理解。
此外,为了确保和维护公司内外的信息资产的机密性、完整性和可用性,我们制定了信息系统正确运用流程和规则,同时在技术上采用防御外部非法访问机制和防御计算机病毒机制等多层对策。因此,我们通过妥善管理与业务活动相关的来自客户和交易方等各种利益相关者提供的重要信息,继续提供可靠的产品和服务,从而履行企业的社会责任。
在业务活动中,数字和数据的应用变得越来越重要,在确保信息安全的同时,推进本公司集团的DX化,努力进一步增强业务竞争力。
风险管理
教育
以本公司集团的从业人员为对象,从2018年度起,实施以线上学习为中心的提高IT安全意识教育活动。2023年度集团的受训率为96.3%*,今后,我们将以100%为目标,努力充实教育内容,鼓励员工接受该培训。
-
* 对象者:拥有公司发放的邮箱地址及日常工作中使用电脑的本集团董事、执行董事及员工。
安全内部监查
有关本公司集团的安全要求的遵守状况,在把握明确的证据的同时,为构筑用于修正的PDCA循环,集团从2020年度起实施安全内部监查。2024年度更新了监查评估项目,包括OT*的安全对策状况检查,业务部门利用的云服务的检查,加强更有效的内部监查和自我检查。
对各内部监查对象公司的监查结果进行审核,对于不符合要求的项目,我们与各公司的信息安全管理人员(主要为IT主管)一起制定改善计划,并完成最终结果报告书。之后,在各公司的信息管理负责人(主要为执行董事)的批准下,切实执行改善措施。
-
* OT:操控工厂等控制机器并加以运用的系统及技术。
指标与目标GRI:418-1
:达到目标的90%以上、 :达到目标的60%至90%、 :不满60%
2023年度目标 | 2023年度实际成果 | 自我评价 |
---|---|---|
集团全体开展防止发生重大安全事故活动 | 未发生影响业务连续性的重大事故 | |
继续开展包括安全内部监查在内的CSIRT的对策状况评估活动(2023年度计划:IT评估6家、OT评估4家) | 根据计划完成共计6家公司的IT安全内部监查,超额完成共计6家公司的OT安全评估 |
考察
COBIT*等级4证明要求,除了证明IT安全保障活动的实施、能够测定信息资产保护及IT安全保障的遵守状况这2点之外,还要求在需要改善的情况下能够妥善处理。
以满足这些治理上的成熟度要求为目的所导入的安全内部监查,在包括安全内部监查的CSIRT的评估活动中,2023年度确认了12家集团公司的应对状况。并且,在2023年度,评估对象中增加了防御、检测、恢复等安全对策的具体内容。通过这些活动稳步推动了信息安全管理的PDCA循环。
* COBIT:衡量IT治理成熟度的评估框架,以0-5段为标准,5为最成熟水平(优化)已确认本集团位于第4段(管理)。
下一步行动
为了向各公司落实并切实遵守《信息安全章程》,在IT和OT两方面继续支持安全对策。
作为集团统一的技术性对策,2024年度进一步推进网络设备的脆弱性管理,及加强PC和服务器的可疑行为检测等对策。
- 继续推动包括安全内部监查在内的CSIRT的对策状况评估活动(2024年度计划:IT评估12家公司,OT评估6家公司)
- 引进技术性对策(2024年度计划:除极小规模基地和投资比例较低的基地以外的全公司为对象)
- 通过全球线上学习对员工实施安全意识培训