コンサルティングサービス(工場向け) – ポリシー策定

OTセキュリティポリシー策定サービス

・リスク分析の実施
・セキュリティポリシーの策定
・教育の実施
約6ヵ月のプロジェクト期間を標準にパッケージングしています。

 

リスク分析の実施

セキュリティポリシーは管理基準、対策基準、実施手順の3つの階層で構成されています。本サービスでは管理基準と対策基準をセキュリティポリシーとしています。この管理基準、対策基準におけるポリシーの策定の支援を行います。特に、会社のセキュリティ対策のポリシーについて、もともと ITセキュリティの規定は既に作成されており、新しく OT セキュリティの規定を作る場合、 IT のセキュリティ規定をそのまま OT セキュリティに適用しようとすると難易度が高い場合があります。そこで、工場などの、OT システムを持つ環境に応じたセキュリティの社内規定を、お客様の資産や規模、業種、そしてリスクに準じた策定を取り行っていきます。

管理基準

セキュリティ対策に対する根本的な考え方を表します。経営者による、セキュリティ対策の必要性やどのような方針で対策を進めるのかといった具体的な仕組みを考える必要があります。この管理基準を社員に周知、理解を得ることで活動を促進させます。

対策基準

管理基準を満たすための、より具体的なセキュリティ対策の基準を記述します。各管理基準を達成するのに、何をしなければいけないのかという規定を考えます。

セキュリティポリシーの策定と教育の実施

セキュリティポリシーの策定をする際は、その前段階として現状を把握するためのリスク分析を実施します。

次に、ポリシーを作った後の教育に関しての支援をパッケージ化して計6か月程度のプロジェクトとして進めます。

 

ネットワーク対策ガイド

クオリティとして、産業用オートメーション及び制御システムに対するセキュリティの国際標準である「IEC 62443シリーズ」に準拠していますが、このレベルをセキュリティの社内規定、一般的なセキュリティの規定とすると、人的なものから物理的なものまで幅広いためハードルが高く感じる場合があります。

そこで、まずはネットワークのところだけ限定的に行いたい、といった要望がある場合、それに合わせたポリシーづくりのご提案をします。

自社オリジナルの社内規程

各会社の文書管理規定に基づき、他関連する社内規定を考慮して、よりお客様の企業の文書の特徴に寄せたオリジナルのポリシー策定を支援します。