システムリスク管理基本方針

(1)システムリスク管理体制の構築
システムリスク管理に係る重要事項について、取締役会が決議する体制を構築します。
また、経営組織直下にシステムリスク管理を管轄する委員会を設置し、経営陣がシステムリスク管理に係る判断を適時行える体制とします。
(2)管理規程の制定
システムリスク管理規程および事業継続計画のためのBCP管理規程を制定し、適切なシステムリスク管理のためのルールを整備するとともに、社内への周知徹底を図ります。また、セキュリティ設計標準を整備し、システムリスク管理を適切に行うために遵守すべき具体的基準を定めます。
(3)管理責任の明確化
システムの検討開始/開発/導入/運用/廃棄のライフサイクル全体を通したシステムリスク管理者を明確にします。
(4)特定・評価・モニタリング・対策
システムリスクを洗い出し評価基準を定め、定期的あるいは必要に応じ適宜評価およびモニタリングを実施します。把握したシステムリスクに対し、「回避」「低減」「移転」「保有」のリスク対策を計画、実施します。
(5)教育・訓練
全役職員に対し、自らの業務において係るシステムリスクに適切な対応を実施できるよう、システムリスクに関する教育・訓練を定期的あるいは必要に応じ実施します。
(6)外部委託業務の管理
業務委託先選定のための適切な基準を制定し、基準を満たす業務委託先と契約します。
また、システムリスク管理態勢が適正に維持されていることを定期的に確認するとともに、必要に応じ業務委託先の見直しを行います。
(7)監査
独立した内部監査組織を設け、定期的あるいは必要に応じてシステムリスクに係る監査を実施し、システムリスク管理の合理性を客観的に評価するとともに、継続的な改善のためのフィードバックを行います。
(8)継続的な改善
システムリスク管理に係る全ての取組みについて、継続的な改善に取組みます。