厳格化する法令?规制?ガイドラインの遵守
近年、企業はさまざまなセキュリティ法令?规制?ガイドラインへの遵守を求められています。たとえば、自動車産業のサプライヤーに対しては、複数のOEMなどから、自工会?部工会のサイバーセキュリティガイドライン、 ドイツ自動車工業会によるTISAX?認証、NIST CSFなどに基づいたセキュリティ強化の要求があります。要求の都度、異なるセキュリティ規制やガイドラインに基づいて、社内でセキュリティ評価するのは非効率で、また異なる法令?规制?ガイドラインであっても、個々の要求事项を見ると、類似した内容が多数あります。
下記のようなセキュリティポリシーにかかわる要求事项は、「セキュリティ規程類が作成され、公開され、定期的に更新されている」という1つの統制目的を達成すれば、すべてを満たすことができます。この考え方は“Test once and satisfy many(一度のテストで複数を充足)”と呼ばれます。
| 法令?规制?ガイドライン | 项番 | 要求事项 |
|---|---|---|
| TISAX VDA-ISA 6.0.1 | 1.1.1 Must項目 |
|
| 1.1.1 Should項目 |
|
|
| 1.1.2 Must項目 |
|
|
| ??? | ||
| 自工会部工会サイバーセキュリティガイドライン 2.1 | 1-1 |
|
| 1-2 |
【规则】社内外の环境変化を踏まえて、内容を确认し、适宜见直ししていること 【频度】情报セキュリティ対応方针(ポリシー)の内容を确认、改善:1回以上/年 ※别途、重大な変化が発生した场合には迅速に対応すること |
|
| ??? | ||
| NIST CSF 2.0 | GV.PO-01 | サイバーセキュリティリスクを管理するためのポリシーは、组织の状况、サイバーセキュリティ戦略、优先顺位に基づいて确立され、伝达および施行される。 |
| ??? | ||
このような要求事项は、法令?规制?ガイドラインごとのスプレッドシートで管理している場合がほとんどですが、スプレッドシートでは法令?规制?ガイドラインをまたがって可視化するのは困難です。
碍笔惭骋の支援
コンプライアンス基盤では、以下のように統制目的に対して、法令?规制?ガイドライン、および要求事项を自由に紐づけて、この単位でテスト計画を策定し、テストの実施やフォローアップを管理できます。
また统制目的単位で、テストに必要な文书?証跡を対象部门から入手するワークフローを回し、入手?确认した文书?証跡をテスト结果として合わせて保存できます。これらによって、不规则に管理されることが多い统制内容?テスト手顺?确认証跡?テスト结果を一元管理することができ、自己评価/内部监査の効率化および品质向上に贡献します。
【コンプライアンス基盘イメージ】
【厂别谤惫颈肠别狈辞飞のプラットフォームイメージ】
コンプライアンス基盘は、自己评価/内部监査の準备と実施のプロセスを分离して、柔软な自己评価/内部监査のプロセスを実装します。厂别谤惫颈肠别狈辞飞のプラットフォームにおいては以下のようなイメージです。
