各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
サイバーセキュリティ監査/内部監査支援
サイバーセキュリティは監査の重要テーマ
IoTの台頭に見られるとおり、企業を取り巻くシステム・ネットワーク環境は飛躍的に進化を遂げており、今後も加速することが想定されます。情報システムだけでなく、OA機器なども含め、企業内部のあらゆるものが外部ネットワークと接続する状況は私たちにさまざまな便益をもたらしますが、同時に外部からの不正な攻撃に企業が常に晒され続けることも意味しています。
このような状況下において、サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体となって取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。
この課題に対して企業の内部監査部門として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
サイバーセキュリティ対応
サイバーセキュリティに関する管理態勢の整備・運用を推進するにあたり、以下のような悩みがよく聞かれます。
サイバーセキュリティに関する知識やノウハウがないため、自社におけるサイバーセキュリティ対応状況を監査することができない。
サイバーセキュリティ対応がどこまで実施できているかを客観的に評価できない。
サイバーセキュリティ対応に係る自社の状況が業界的にどの程度の水準にあるのか、どの範囲を強化していくべきかが分からない。
内部監査部門に求められる役割
PwC Japan有限責任監査法人は、内部監査部門がサイバーセキュリティ対応にあたり、その役割を十分に果たせるよう支援しています。
内部監査部門に求められる対応
内部監査部門は、サイバーセキュリティ管理態勢を対象としたリスクアセスメントを実施し、年間の内部監査計画へ反映する必要があります。また、内部の人員で計画の策定などができるよう、人材育成を行う必要があります。
PwCによる支援内容
PwCでは、サイバーセキュリティ領域を加味したリスクアセスメントや、実効性がある内部監査計画の策定、外部ベンダーを利用する際の内部監査プロセスの構築を支援しています。併せて、人材育成に係る方針や計画の策定に際して助言を行ったり、研修を実施したりすることで、人材の育成を支援しています。
支援の全体像
PwCでは、支援実績が豊富なプロフェッショナルが内外のさまざまな知見を活用してサイバーセキュリティに関する取り組みを包括的に評価することで、クライアントの現在の対応状況を可視化します。
フェーズ |
作業概要 |
|---|---|
概要把握 |
担当者への質問、資料の閲覧などを実施し、組織、業務、システムの概要を把握します。 |
計画策定 |
概要の把握を通じて認識したリスクや課題を踏まえ、重点的に評価すべき範囲、項目、組織などを決定します。 |
本調査 |
評価項目に基づき、担当者への質問、資料の閲覧、現場の視察などを実施し、管理態勢を評価します。 |
報告書作成 |
本調査を通じて識別した課題を検討し、今後の改善に向けた助言事項を記載した報告書を作成します。 |
報告 |
報告内容に相違がないか、担当者ら確認していただいた上で、経営層に報告します。 |
なぜPwCなのか
- 単にアセスメントを行うだけではなく、計画策定の中で、評価目的に則した評価項目を設定し、評価することが可能です。
- 同業他社の取り組み事例を幅広く把握しており、自社の取り組みをベンチマーク評価することが可能です。
- サイバーセキュリティだけに留まらず、情報セキュリティ全般を含んだ総合的な評価を行うことが可能です。
対応するガイドラインなど
- NIST Cybersecurity Framework
- NIST SP800シリーズ
- CIS Critical Security Controls
- FFIEC Cybersecurity Assessment Tool
- FISC 金融機関等コンピュータシステムの安全対策基準
- サイバーセキュリティ経営ガイドライン
インサイト/ニュース
20 results
Loading...
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
