有価証券報告書-第212期(2023/04/01-2024/03/31)

(3) リスク管理
・当行ではシステムの導入時・更改時や外部のサービス利用時等に以下のステップでサイバーリスク評価を実施しております。また、定期的にリスク評価を実施することで、システムや外部サービスの安全性確保を図っております。

ステップ1 (対象の選定)	システム・外部サービスを「停止時の業務影響度」および「保有情報の重要度」の観点でランク付けを行い、サイバーリスクの高いシステム・外部サービスをサイバーリスク評価の対象として選定します
ステップ2 (サイバーリスク評価)	ITベンダーに対して、想定される脅威別(サイバー攻撃別)にセキュリティ対策の実施状況を確認し、行内で検証します
ステップ3 (対応)	当行が求めるセキュリティ水準を満たしていないシステム・外部サービスについては、「回避」、「低減」、「移転」、「保有」といったリスクへの対応方針を策定し、対応を実施します