情報セキュリティ体制

情報セキュリティの考え方と情報セキュリティ体制
準拠する国際規格とセキュリティ格付サービス
情報セキュリティ管理施策
情報セキュリティインシデントへの対応
サイバーセキュリティ研修

情報セキュリティの考え方と情報セキュリティ体制

オリックスでは、情報・サイバーセキュリティに関するリスクを経営上の重要な課題であると認識し、情報資産の適切な保護と安全な管理に努めています。こうした情報セキュリティに関する考えと方針を情報セキュリティポリシーに定めています。また、社内規程として情報セキュリティ管理規則を制定し、役職員などによる情報および情報システムの適切な利用、情報セキュリティ管理体制、基本方針、管理基準、サイバーインシデントに対する対応体制などについて定めています。

情報セキュリティ体制図

準拠する国際規格とセキュリティ格付サービス

オリックスの情報セキュリティ統制は、以下の国際規格に準拠しています。
ISO31000、ISO27001、COBIT、NIST

情報セキュリティ管理施策

オリックスでは、情報セキュリティに関するリスクを管理するため、情報セキュリティスタンダードと、ミニマム・セキュリティ・スタンダードを規定しています。
情報セキュリティスタンダードでは、16の管理領域を設定し、領域ごとに一定レベルの情報セキュリティを確保するために必要な管理施策を設定しています。オリックスグループ各社・各部門は、これらの管理施策をビジネスの特性、保有する情報、脅威となるもの、規制上期待されることなどを検討し、リスクに応じて実施しています。
さらにミニマム・セキュリティ・スタンダードとして、情報セキュリティスタンダードに定められる管理施策のうち、企業規模にかかわらず国内外のオリックスグループ全社が最低限守らなければならない14の管理施策を定めています。

情報セキュリティインシデントへの対応

グループ全体のサイバーインシデントを管理する組織として、オリックスではISC-CSIRTを組織しています。オリックスグループ各社・各部門のCSIRTは、情報セキュリティインシデント対応の報告体制、報告手順を設定しており、報告手順に従った訓練を行っています。インシデント発生時に、各社・各部門のCSIRTはISC-CSIRTの支援または指示のもとで、当該インシデントに対応します。また、重大なサイバーインシデントが発生した場合には、CEOおよびディスクロージャーコミッティに対し、対応状況、再発防止策、改善策などを報告する体制を構築しています。

サイバーセキュリティ研修

グループの全ての役職員を対象としたサイバーセキュリティ研修・フィッシングメール訓練を年間通して実施しています。2024年3月期は、国内外のグループ役職員34,627名が研修を受講しました。