中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
サイバーセキュリティ監査/内部監査支援
サイバーセキュリティは監査の重要テーマ
IoTの台頭に見られるとおり、企業を取り巻くシステム・ネットワーク環境は飛躍的に進化を遂げており、今後も加速することが想定されます。情報システムだけでなく、OA機器なども含め、企業内部のあらゆるものが外部ネットワークと接続する状況は私たちにさまざまな便益をもたらしますが、同時に外部からの不正な攻撃に企業が常に晒され続けることも意味しています。
このような状況下において、サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体となって取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。
この課題に対して企業の内部監査部門として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
サイバーセキュリティ対応
サイバーセキュリティに関する管理態勢の整備・運用を推進するにあたり、以下のような悩みがよく聞かれます。
サイバーセキュリティに関する知識やノウハウがないため、自社におけるサイバーセキュリティ対応状況を監査することができない。
サイバーセキュリティ対応がどこまで実施できているかを客観的に評価できない。
サイバーセキュリティ対応に係る自社の状況が業界的にどの程度の水準にあるのか、どの範囲を強化していくべきかが分からない。
内部監査部門に求められる役割
PwC Japan有限責任監査法人は、内部監査部門がサイバーセキュリティ対応にあたり、その役割を十分に果たせるよう支援しています。
内部監査部門に求められる対応
内部監査部門は、サイバーセキュリティ管理態勢を対象としたリスクアセスメントを実施し、年間の内部監査計画へ反映する必要があります。また、内部の人員で計画の策定などができるよう、人材育成を行う必要があります。
PwCによる支援内容
PwCでは、サイバーセキュリティ領域を加味したリスクアセスメントや、実効性がある内部監査計画の策定、外部ベンダーを利用する際の内部監査プロセスの構築を支援しています。併せて、人材育成に係る方針や計画の策定に際して助言を行ったり、研修を実施したりすることで、人材の育成を支援しています。
支援の全体像
PwCでは、支援実績が豊富なプロフェッショナルが内外のさまざまな知見を活用してサイバーセキュリティに関する取り組みを包括的に評価することで、クライアントの現在の対応状況を可視化します。
フェーズ |
作業概要 |
|---|---|
概要把握 |
担当者への質問、資料の閲覧などを実施し、組織、業務、システムの概要を把握します。 |
計画策定 |
概要の把握を通じて認識したリスクや課題を踏まえ、重点的に評価すべき範囲、項目、組織などを決定します。 |
本調査 |
評価項目に基づき、担当者への質問、資料の閲覧、現場の視察などを実施し、管理態勢を評価します。 |
報告書作成 |
本調査を通じて識別した課題を検討し、今後の改善に向けた助言事項を記載した報告書を作成します。 |
報告 |
報告内容に相違がないか、担当者ら確認していただいた上で、経営層に報告します。 |
なぜPwCなのか
- 単にアセスメントを行うだけではなく、計画策定の中で、評価目的に則した評価項目を設定し、評価することが可能です。
- 同業他社の取り組み事例を幅広く把握しており、自社の取り組みをベンチマーク評価することが可能です。
- サイバーセキュリティだけに留まらず、情報セキュリティ全般を含んだ総合的な評価を行うことが可能です。
対応するガイドラインなど
- NIST Cybersecurity Framework
- NIST SP800シリーズ
- CIS Critical Security Controls
- FFIEC Cybersecurity Assessment Tool
- FISC 金融機関等コンピュータシステムの安全対策基準
- サイバーセキュリティ経営ガイドライン
インサイト/ニュース
20 results
Loading...
Digital Trust Insights 2025:CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める
PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
「サイバー攻撃被害に係る公表」に関する国内組織実態調査 第2回―インシデント検知から1週間以内に公表する企業は半数を超える―
PwC独自のインシデントデータベースをもとに国内組織のインシデント公表事例を分析し、傾向および組織への推奨事項をまとめました。前年調査よりも「今後の対応」を記載する組織が大幅に増え、政府ガイダンスの記載項目に即したインシデント公表の広がりが明らかになりました。
Loading...
