情報セキュリティ体制

情報セキュリティの考え方と情報セキュリティ体制
準拠する国際規格とセキュリティ格付サービス
情報セキュリティ管理施策
情報セキュリティインシデントへの対応
サイバーセキュリティ研修

情報セキュリティの考え方と情報セキュリティ体制

オリックスでは、情報セキュリティに関するリスクを経営上の重要な課題であると認識し、情報資産の適切な保護と安全な管理に努めています。こうした情報セキュリティに関する考えと⽅針を情報セキュリティポリシーに定めています。また、社内規程として情報セキュリティ管理規則を制定し、役職員などによる情報および情報システムの適切な利用、情報セキュリティ管理体制、基本方針、管理基準などについて定めています。

情報セキュリティ体制図

準拠する国際規格とセキュリティ格付サービス

オリックスの情報セキュリティ統制は、以下の国際規格に準拠しています。
ISO31000、ISO27001、COBIT、NIST

情報セキュリティ管理施策

オリックスでは、情報セキュリティに関するリスクを管理するため、情報セキュリティスタンダードと、ミニマム・セキュリティ・スタンダードを規定しています。
情報セキュリティスタンダードでは、16の管理領域を設定し、領域ごとに一定レベルの情報セキュリティを確保するために必要な管理施策を設定しています。オリックスグループ各社・各部門は、これらの管理施策をビジネスの特性、保有する情報、脅威となるもの、規制上期待されることなどを検討し、リスクに応じて実施しています。
さらにミニマム・セキュリティ・スタンダードとして、情報セキュリティスタンダードに定められる管理施策のうち、企業規模にかかわらず国内外のオリックスグループ全社が最低限守らなければならない14の管理施策を定めています。

情報セキュリティインシデントへの対応

オリックスグループ各社・各部⾨のCSIRTは、情報セキュリティインシデント対応の報告体制、報告⼿順を設定しており、報告⼿順に従った訓練を行っています。インシデント発生時に、各社・各部⾨のCSIRTはオリックス株式会社情報セキュリティ統括部の⽀援または指⽰のもとで、当該インシデントに対応します。また、インシデントの重⼤性に応じて、CEOおよびエグゼクティブ・コミッティに対し、対応状況、再発防⽌策、改善策などを報告する体制を構築しています。

サイバーセキュリティ研修

グループのすべての役職員を対象としたサイバーセキュリティ研修を年間通して行っています。2023年3月期は30,689名が研修を受講しました。