システムリスクアセスメントサービス
システムリスクアセスメントサービスの意義
自社のビジネスを行うにあたって、今やICTシステムの稼働は前提条件とも言える時代です。
ICTシステムへの依存度が上がるにつれ、システム対策は重要度を増しますが、想定すべきはサイバー攻撃や機器の故障、IT障害の発生によるシステム停止といった外部要因による問題だけではありません。
例えば、データセンターやクラウドサービスなどの障害もあれば、そもそもそれらの外部サービスが法規制や業界特有の遵守事項を満たしていない可能性もあります。また、人が運用していく以上、オペレーションミスによるトラブルを完全に防ぐことも難しいでしょう。
システムの稼働停止がビジネスの停止に直結しかねない状況下では、システムリスクへの対応は組織として必須です。しかしながら、想定されるリスク全てに対応するということは現実的ではありません。優先順位をつけ、より経営に大きなインパクトを与えかねないリスクから対応していくことが必要です。その際には、経営目標達成のための全社的リスクマネジメント(ERM)と連動した形でリスクを可視化し、対策を考えることが望ましいと言えます。
当サービスでは、ERMの観点を踏まえた、経営に役立つシステムリスクアセスメントをご提供いたします。
このようなお客様におすすめします
自社におけるシステムリスクへの対応について、以下のような悩みをお持ちのお客様におすすめです。
- リスク管理部門から、システムリスクについて現状分析と今後の対応事項を報告するよう要請されたが、進め方がわからない
- 対応すべきリスクの優先順位をどのように決めればよいのかわからない
- リソースや知識が不足しており、自部門で進めることが難しい
- システムリスクの洗い出しについて手順は定められているものの、手数がかかりすぎて簡素化したい
- 毎年システムリスクアセスメントを実施してはいるものの、効果が感じられない
- システムリスクアセスメントの進め方を一緒に推進しながら学び、ゆくゆくは自社でアセスメントが出来るようにしたい
サービスの特長
経営視点から「ビジネスの存続を脅かすシステム上のリスク」を洗い出し、適切な対策導入につなげます。
- 業種、業態に応じた基準を基に現状分析を行います
リスクアセスメント対象のシステムについて、経済産業省の「システム管理基準」や金融機関向けの「FISC安全対策基準」など、貴社のビジネスモデルに合ったガイドラインや法規制等を選定し、これを基に評価シートを作成します。 - アセスメントの価値、効果を感じられるよう、有効性を重視します
システムリスクアセスメントの効果が感じられないという声は多く、その理由のほとんどが、手段であるアセスメントが目的にすり替わっていることによるものです。アセスメントの本来の目的を明確にし、目的と効果(リスクの顕在化を未然に防げているか、インシデントを封じ込めることに成功しているか等)を有機的につなげるアセスメントを提供します。 - 一過性の分析ではなく、リスクマネジメント活動の一環として取り組むことで、継続的なモニタリングを可能にします
評価項目に対して、整備状況、運用状況のほか、インシデントの発生状況を定点観測することにより現状対策やルールの有効性を確認し、今後の改善へつなげることが可能です。 - システムリスクアセスメントの実施主体に合わせたご支援が可能です
弊社コンサルタントがリスクアセスメントを実施するほか、自部門でシステムリスクアセスメントの実施が可能というお客様には、評価シートおよび実施手順書を提供するとともに、実施方法についてスキルトランスファーをメインとしたご支援を行うことも可能です。
成果物イメージ
以下の成果物を作成します。
- リスクアセスメント計画書
システムリスクアセスメントを行う際の目的、スケジュール、基準、手法などをまとめた計画書
- 評価シート
システムリスクアセスメント実施にあたって使用する評価シート
- リスクアセスメント報告書
弊社で実施したシステムリスクアセスメントの結果を取りまとめた報告書
作業ステップ(例)
下図はシステムリスクアセスメントの一般的な流れです。
リスクアセスメントはシステムごとに実施するため、お客様のご要望に沿って、支援範囲のカスタマイズも承ります。
お客様事例