金融機関向けセキュリティ監査サービス

FISC適合性を加味したセキュリティ監査

「FISC安全対策基準」等、各FISCガイドラインへの適合性、および経済産業省の「情報セキュリティ管理基準(平成28年改正版)」に準拠したセキュリティ監査サービスです。

本サービスは、上記基準の目的への適合性および妥当性を評価・監査します。

FISCの目的
自然災害、機器の障害、不正使用行為等から生ずる金融機関等コンピュータシステムの障害に対し、「障害発生を未然に防止すること」、「障害発生時の影響を最小化すること」、「障害から早期の回復を図ること」

情報セキュリティ監査の目的(「情報セキュリティ監査基準」より)
独立かつ専門的な立場から、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を得ること

これにより、第三者視点から、情報セキュリティ管理への問題点が明らかとなり、外部への説明性を向上することができます。

サービスの特徴

ヒアリング、セキュリティポリシーや規定類等のドキュメントのチェック、エビデンスのチェックを通じた監査を実施し、貴社の情報セキュリティとFISC安全対策基準、および情報セキュリティ管理基準との適合性および妥当性を評価します。

本セキュリティ監査の基本構成要素

準拠する基準 構成 対象
FISC安全対策基準 設備基準 (Ⅰ. コンピュータセンター)
建物、コンピュータ室・データ保管室、電源室・空調機械室
電源設備、空調設備、監視制御設備、回線関連設備
(Ⅱ. 本部・営業店等)
建物、サーバー設置場所、インストアブランチ
(Ⅲ. 流通・小売店舗等との提携チャネル)
コンビニATM
運用基準 管理体制の確立、入退管理、運用管理、システム開発・変更
各種設備管理、教育・訓練、要員管理、外部委託管理
デビットカード、オープン系ネットワークを利用した金融サービス、クラウドサービスの利用
技術基準 (Ⅰ. システム信頼性向上策)
ハードウェアの信頼性向上対策、ソフトウェアの信頼性向上対策
運用時の信頼性向上対策、障害の早期発見・早期回復、災害時対策
(Ⅱ. 安全性侵害対策)
データ保護、不正使用防止、不正プログラム防止
情報セキュリティ管理基準 マネジメント基準 (情報セキュリティマネジメントの計画、実行、点検、処置)
組織の役割、責任及び権限、利害関係者のニーズ及び期待の理解、方針、リスクマネジメント運用、資源管理、力量、パフォーマンス、マネジメントレビュー、改善活動、文書管理 など
管理策基準 (情報セキュリティマネジメントの確立のための管理策)
情報セキュリティのための方針群、内部組織、人的資源のセキュリティ、資産の管理、アクセス制御、暗号、物理及び環境的セキュリティ、運用のセキュリティ、通信のセキュリティシステムの取得、開発及び保守、供給者関係、情報セキュリティインシデント管理、事業継続マネジメントにおける情報セキュリティの側面、順守 など

 サービスの流れ

監査対象範囲(部門、システム等)、業界(証券、保険)によって異なりますが、監査期間は12週からとなります。

 

※有償オプション

ご要望に応じて、監査報告の結果をもとに、セキュリティ対策ロードマップの策定を支援いたします。

是正処置計画の策定
有効性評価 など

納品物(報告書例)

<監査計画書>
監査の対象、目的、実施手順や内容、期間などを記載した資料

<監査調書>
監査業務の実施記録、監査証拠、その他関連資料などを記載した資料

<監査報告書>
監査結果、総評、指摘事項などを記載した資料

<情報セキュリティ管理基準適合性チェックシート>
情報セキュリティ管理基準の適合性および順守状況を確認するチェックシート

<FISC適合性チェックシート>
金融機関等コンピュータシステムの安全対策基準 第8版、および業界別解説書の項目に、基準適合性のチェック結果を記載した資料

 

料金

料金 300万円~
※証券業界、保険業界の場合、FISC対策項目が少ないため、割引があります(160万円~)

300万円の範囲内での監査対応例)

監査範囲 1事業所
IT部門+3部門
ヒアリング:1部門1名
以下に関わるコンピュータシステム数:3つ
・顧客にオンラインサービスを提供するコンピュータシステム
・他の金融機関等との決済業務に使用するコンピュータシステム
・顧客データを扱うコンピュータシステム
・サービスを提供するために金融機関等が顧客に提供するハードウェア、ソフトウェア
実施期間 12週