日本銀行 2022年度の考査の実施方針等について
こんにちは、丸山満彦です。
日本銀行が、2022年度の考査の実施方針等について、公表していますね。。。
別紙にある、重点項目によると、、、
- ①日々変化するサイバー脅威動向等の情報収集や情報共有の適切性、
- ②顧客情報など重要データへのアクセス権限管理の妥当性、
- ③サイバー攻撃への未然防止策と被害抑制策の有効性を点検する。
また、攻撃からの完全な防御は困難であることを踏まえ、
- サイバーインシデント発生時を想定した重要な業務の復旧に向けた体制や
- コンティンジェンシープランの実効性、
- 演習の実施状況とその結果を反映した管理体制の見直し状況
ということになるようです。。。
● 日本銀行
・2022.03.29 [PDF] 2022年度の考査の実施方針等について
2.2021 年度の考査の実施状況等
...
(オペレーショナルリスク[6])
システムリスクに関し、大手金融機関では、顧客に影響を及ぼすシステム障害が複数回、発生する事例がみられた。また、大手金融機関、地域金融機関ともに、新しいデジタル技術の活用等が進む一方で、ランサムウェアなどのサイバー脅威がますます高まっている。このほか、サードパーティやグループ会社等との業務連携が拡大する中で、それらの先まで含めた情報セキュリティ管理、クラウド事業者に対する委託先管理などが不十分な事例がみられた。
...
3.2022 年度の考査の実施方針
...
(3)各種リスクの状況とリスク管理体制
...
✓ オペレーショナルリスク
- サードパーティやグループ会社等との業務連携が拡大するもとでの、それらの先を包含する管理体制の構築。
- システムリスク管理、サイバーセキュリティ管理について、障害・インシデントの未然防止策の有効性、および、発生時の復旧体制の実効性[7]。
- マネー・ローンダリング対策に関する体制整備の進捗管理[8]。
...
(別紙)
2022 年度の考査における重点事項
...
6.オペレーショナルリスク管理
A.システムリスク管理体制
金融機関の重要なシステムを中心に、①保守管理や重要システムの二重化など、 システム障害の未然防止策や、②コンティンジェンシープランの整備・訓練を含む 障害発生時の復旧体制の実効性について点検する。その際、デジタライゼーション の進展による新たな技術やサービスの利用に見合った管理が行われているか、とい う観点からも点検する。また、クラウドの利用やAPI連携など、サードパーティ との業務連携が拡大している傾向も踏まえ、そうした先については、開発・運用の プロジェクト管理や、顧客データ等に関する情報セキュリティの観点などから、従 来からの業務委託先を含むサードパーティ管理を適切に行っているかを点検する。 さらに、サイバーセキュリティを含むシステム管理全般の実効性と、システム投資 の効率性の両立を図る経営資源の配分がなされているか等の観点から、金融機関本 体およびそのグループ会社等に対するITガバナンスの有効性を確認する。
B.サイバーセキュリティ管理体制
サイバーセキュリティ管理体制の整備状況について、各金融機関の業務内容等を踏まえ、①日々変化するサイバー脅威動向等の情報収集や情報共有の適切性、②顧客情報など重要データへのアクセス権限管理の妥当性、③サイバー攻撃への未然防止策と被害抑制策の有効性を点検する。また、攻撃からの完全な防御は困難であることを踏まえ、サイバーインシデント発生時を想定した重要な業務の復旧に向けた体制やコンティンジェンシープランの実効性、演習の実施状況とその結果を反映した管理体制の見直し状況を点検する。
一部の大手金融機関に対する金融庁との共同調査では、特に、ガバナンス(経営 陣によるコミットメント、専担部署のリソース確保、業務部門の協力体制)、グルー プ・グローバルな体制整備(脅威情報収集・監視・即応・演習等)、脅威ベースペネトレーションテスト(TLPT)の活用、サイバーレジリエンスの向上(ランサム ウェア攻撃を想定したコンティンジェンシープランの整備等)、業務委託先を含むサードパーティ管理について対話を深める。なお、考査の実施に当たっては、共同調査との重複を回避する。
地域金融機関については、金融庁と共同でサイバーセキュリティ管理体制に関するセルフアセスメントを実施し、整備状況の実態把握および対策強化について働き かけを行っていく。
...
■ 参考:過去分
- 2021.03.30 [PDF] 2021 年度の考査の実施方針等について
- 2020.03.13 [PDF] 2020 年度の考査の実施方針等について
- 2019.03.19 [PDF] 2019 年度の考査の実施方針等について
- 2018.03.13 [PDF] 2018 年度の考査の実施方針等について
- 2017.03.27 [PDF] 2017 年度の考査の実施方針等について
- 2016.03.29 [PDF] 2016 年度の考査の実施方針等について
- 2015.03.27 [PDF] 2015 年度の考査の実施方針等について
- 2014.03.25 [PDF] 2014 年度の考査の実施方針等について
- 2013.03.15 [PDF] 2013 年度の考査の実施方針等について
- 2012.03.30 [PDF] 2012 年度の考査の実施方針等について
- 2011.04.08 [PDF] 2011 年度の考査の実施方針等について
- 2010.03.19 [PDF] 2010 年度の考査の実施方針等について
- 2009.03.25 [PDF] 2009 年度の考査の実施方針等について
- 2008.03.17 [PDF] 2008 年度の考査の実施方針等について
- 2007.03.26 [PDF] 2007 年度の考査の実施方針等について
- 2006.03.14 [PDF] 平成18年度の考査の実施方針等について
- 2005.04.04 [PDF] 平成17年度の考査の実施方針等について
- 2004.03.29 [PDF] 平成16年度の考査の実施方針等について
- 2003.03.28 平成15年度の考査の実施方針等について
- 2002.04.08 平成14年度の考査の実施方針等について
- 2021.04.03 平成13年度の考査の実施方針等について
- 2000.03.28 平成12年度の考査の実施方針等について
- 1999.03.30 平成11年度の考査の実施方針等について
・
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.02.21 金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)
・2020.11.27 日本銀行 クラウドサービス利用におけるリスク管理上の留意点
・2020.03.17 日本銀行 2020年度考査実施方針
・2006.04.13 日本銀行 平成18年度の考査の実施方針等について
Comments