ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
外部委託管理の高度化支援
クラウドビジネスの普及をはじめ、コスト最適化や外部委託先が保有する高度なノウハウの活用等を目的として、システムの開発、保守、運用や重要なビジネスプロセスの外部委託がより積極的に実施されつつあります。
しかしながら、委託先の企業において、「情報セキュリティの事故」や「システム等のトラブルによる業務の中断」などの問題も表面化しており、外部委託した業務に対する委託元としての管理強化が課題となっています。
PwC Japan有限責任監査法人では、さまざまな監査を通じて培ったノウハウを活用し、委託先の選定・評価や委託業務のモニタリング等の外部委託管理の高度化を支援します。
外部委託管理にかかる課題
クラウド等のサービス利用形態の多様化や外部委託業務の拡大に伴い、さまざまな課題が認識されています。
- 外部委託管理ルールはあるものの、委託業務の特性等が考慮されず一律に適用され、形骸化している。
- 外部委託先における情報セキュリティの管理状況について、適切な評価・管理ができていない(どこまで管理すべきか明確でない)。
- 委託業務にかかる品質や継続性について、適切な評価・管理ができていない(どこまで管理すべきか明確でない)。
- 外部委託管理にかかるPDCAサイクルが確立されていない、または適切に運用されていない。
- 委託業務を管理する体制を十分に整備できていない、または関連する部署が複数あり統合的な外部委託管理を行う体制となっていない。
- 委託先への立ち入り調査を実施したいが、ノウハウがない、人材がいない、等。
外部委託管理ルールまたは体制・人材にかかる原因
これらの課題の原因は、主に外部委託管理ルールにかかるもの、または体制・人材にかかるものの2点が考えられます。
外部委託管理ルールにかかる原因
- 自社の外部委託管理ルールが制定時から見直されていない等により、手続や評価・管理項目が現在の委託業務内容や求められる管理水準に合致していない。
- 自社の外部委託管理ルールを適用する際に、委託業務の特性や取り扱う情報の重要度等を踏まえたリスク評価が行われていない。
体制・人材にかかる原因
- 目的や責任範囲の異なる部署が、それぞれ外部委託管理業務を実施しており、統合的に管理する体制が明確でない、または情報連携が行われていない。
- 委託業務の評価・管理を実施するための、情報セキュリティやシステムまたは委託業務にかかる知識やスキルをもった人材がいない、または少ない。
サービスメニュー
PwC Japan有限責任監査法人では、外部委託管理の高度化に向けた管理ルールや体制・人材にかかる助言だけでなく、各社のさまざまな課題に応じた多様な支援が可能です。
主な外部委託管理業務 |
外部委託管理にかかるサービスメニュー |
|
委託先の選定・評価 |
委託候補先企業の事前評価支援 |
外部委託管理態勢(管理ルール、体制等)の高度化支援 |
委託先との契約 |
SLAの策定支援 |
|
委託業務の評価、管理 |
委託先企業への立入り調査支援 |
|
外部委託先管理態勢(管理ルール、体制等)の高度化支援築
外部委託先管理業務の現状を調査し、高度化に向けた改善点について助言します。
委託候補先企業の事前評価支援
委託先の選定において、評価項目にかかる助言や策定支援、候補先企業への立入調査の実施を支援します。
委託業務終了時の評価支援
委託業務終了時または定期的に行われる評価にかかる助言や評価項目の策定支援、評価結果の分析を実施・支援します。
SLAの策定支援
委託先と締結するサービス・レベル・アグリーメント(SLA)について、その内容・項目にかかる助言や策定支援、サービス・レベル・マネジメント(SLM)の構築・運用にかかる助言を行います。
第三者評価結果の活用支援
SSAE16(旧SAS70)等の第三者評価結果を、外部委託管理においてどのように活用すべきかについて助言します。
委託先企業への立入り調査支援
情報セキュリティ等のテーマや評価項目を協議のうえ策定し、これに基づき委託先企業に立入調査を実施、調査結果を報告します。
モニタリング項目・評価手続きの策定支援
業務委託期間にモニタリングすべき項目やその評価手続きにかかる助言、策定支援を行います。また、委託先企業に実施させる自主点検項目に係る助言や策定支援を行います。
最新情報
20 results
Loading...
サイバーセキュリティインシデント報告における重要性判断
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
SECの新たなサイバーセキュリティ開示規則 透明性が問われる新たな時代における情報開示への対応
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
PwC Japanグループ、経済安全保障推進法の事前審査対応を包括支援するサービスを開始(2023年9月7日)
PwC Japanグループは、2024年春にも運用が始まる経済安全保障推進法の事前審査制度に備え、日本企業の対応を包括支援するサービスを始めます。
Loading...
リスク・アシュアランス部コラム
Loading...
企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
価値創造のためのDX経営の要諦 デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
Audit Management Officeの組成によるDX監査態勢の強化 ~DX監査を契機とした経営に資するリスクベース監査の実現に向けて~
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。
Loading...
