リスクアセスメント – ポリシー策定

OTセキュリティポリシー策定サービス

セキュリティポリシーは
・管理基準
・対策基準
・実施手順
の3つの階層で構成されています。
iSECのリスクアセスメントサービスでは、管理基準と対策基準をセキュリティポリシーと位置づけ、これらにおけるポリシーの策定を支援します。

管理基準

組織的にセキュリティ対策へ取り組むために、基本方針の確立、リスク分析を実施するためのプロセスの定義、継続的な改善につなげる組織体制や運用方法などの枠組みを定めます。

対策基準

リスク分析の結果を踏まえたより具体的なセキュリティ対策の基準を定めます。人的・物理的・技術的なリスクに対処し、管理基準を達成するために実施すべき対策事項を考案します。

-お客様ごとのオリジナルのポリシー
OT環境のセキュリティリスクはお客様の事業状況により異なります。お客様が抱えるリスクに応じてサービス内容をカスタマイズし、適切なリスク分析とポリシー策定の支援を提供します。
iSECのアセスメントサービスはIEC 62443シリーズに準拠していますが、この基準では人的なものから物理的なものまで幅広く定義づけられているため社内規定とするには難しいケースもあります。まずはネットワークについての規定のみ部分的に行いたい等ご要望があれば、それに合わせたポリシー策定を行います。
またiSECではお客様側の文書管理規定や関連する社内規定を考慮し、お客様の社内で規定された文書管理ポリシーに沿ったドキュメント作成にも対応いたします。

セキュリティポリシーの策定と教育の実施

セキュリティポリシーの策定をする際は、その前段階として現状を把握するためのリスク分析を実施します。

次に、ポリシーを作った後の教育に関しての支援をパッケージ化して計6か月程度のプロジェクトとして進めます。

ネットワーク対策ガイド

クオリティとして、産業用オートメーション及び制御システムに対するセキュリティの国際標準である「IEC 62443シリーズ」に準拠していますが、このレベルをセキュリティの社内規定、一般的なセキュリティの規定とすると、人的なものから物理的なものまで幅広いためハードルが高く感じる場合があります。
そこで、まずはネットワークのところだけ限定的に行いたい、といった要望がある場合、それに合わせたポリシーづくりのご提案をします。

自社オリジナルの社内規程

各会社の文書管理規定に基づき、他関連する社内規定を考慮して、よりお客様の企業の文書の特徴に寄せたオリジナルのポリシー策定を支援します。