信息安全管理

管理信息

课题与事业活动之间的关系

作为不二制油集团通过事业活动贡献社会的基础,风险管理至关重要,如今数字化数据的价值越来越高,信息安全管理作为风险管理的主题之一备受关注。此外,信息安全管理从切实保护本公司的经营信息以及客户数据、员工数据等这一角度来说也十分重要。

基本方针

针对信息系统所面临的各种威胁,不二制油集团为了确保和维护信息资产的机密性、完整性和可用性,一直致力于提升安全水平。作为本集团的方针,制定了信息管理章程和信息安全章程,并持续开展员工教育,让全体员工充分知晓。在技术层面,采取了多层次的对策,诸如建立防御外部非法访问的机制和防御计算机病毒的机制等。今后仍将继续验证、确认和提高信息安全水平。

推进体制

关于信息安全管理,我们正在财务总监(CFO)的管辖下推进相关工作。在该主管董事之下,设置信息管理统括负责人和CSIRT(Computer Security Incident Response Team计算机安全事件应急响应小组)。CSIRT在各集团公司任命信息管理负责人和信息安全管理人,同时征取外部专家的建议,有计划地提升各集团公司的信息安全水平。
同时,作为ESG经营中的一项重要课题*1,在作为董事会咨询机构的ESG委员会*2 中确认相关进展和成果。向董事会报告有关ESG委员会的结果,接受董事会的复核。

目标和实际成果

:达到目标的90%以上、 :达到目标的60%至90%、 :不满60%

2020年度目标 2020年度实际成果 自我评价
信息安全管理成熟模式达到COBIT*4级
  • 从销售额、是否使用个人信息等观点抽出8家对事业影响特别大的集团公司,实施安全内部监查。
  • 把握集团所有公司的详细安全情况,在集团各公司构筑用于修正和改善的PDCA循环。
  • 达成COBIT等级4。

  • * COBIT:通过用于测试IT治理成熟度的架构,以0~5等级进行评价,5为最成熟等级(Optimizing最优化)。截至2020年4月,公司集团的等级为3。

考察

COBIT等级4证明要求可实施担保IT安全的活动,可测定信息资产保护和IT安全的确保及遵守状况,如需改善,则要求处于可应对的状态。以满足这些要件为目的所导入的安全内部监查,明确了在监查以外的安全对策中未发现的运用中的课题等,作为提高安全等级的措施,确认了其实效性。

下一步行动

在IT安全管理中,我们认识到课题在于:部分集团公司的IT部门管辖外系统的存在以及对象系统的安全管理不到位。因应施策,为实现下面的2021年度目标而努力。

  • 继续推进反映风险趋势的“安全内部监查”及将监察对象系统扩展到IT部门管辖范围

具体措施

教育

以集团公司的从业人员为对象,从2018年度起,实施以线上学习为中心的提高IT安全意识教育。2020年度集团的受训率为97.5%,今后,我们将以100%为目标,努力充实教育内容,鼓励员工接受该培训。

安全内部监查

有关集团公司的安全要件的遵守状况,在把握明显的证迹的同时,为构筑用于修正的PDCA循环,集团从2020年度起实施安全内部监查。第一年度的监查对象公司为8家,从15个观点出发实施了内部监查。今后,随着对象公司的增加,我们将谋求监查中的观点扩充。