昨年末、経済産業省はIPA(独立行政法人情報処理推進機構)とともに、
『サイバーセキュリティ経営ガイドライン』を策定しました。
さて、これはどのようなものなのでしょうか?
皆さん、こんにちは。
業務コンサルタントの高橋です。
現代において、ITの活用は不可欠なものとなっている一方、サイバー攻撃は増加し、
手口も巧妙化してきています。
そのため、セキュリティ投資などに対する経営者の判断が必要となってきている
ことがこの策定の背景にあります。
このガイドラインでは、小規模事業者を除く大企業及び中小企業のうち、ITに関する
システムやサービスなどを供給する企業及び経営戦略上ITの活用が不可欠である企業
の経営者を対象としており、その経営者の下でサイバーセキュリティ対策を推進する
ため、『サイバーセキュリティ経営ガイドライン』が策定されました。
このガイドラインの中では、サイバー攻撃から企業を守るために経営者が認識する
必要のある3つの原則、経営者が情報セキュリティ対策を実施する上での責任者となる
担当幹部に指示すべき重要10項目がまとめられています。
サイバーセキュリティ経営の3原則
(1)経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、IT システム管理の委託先を含めたセキュリティ対策が必要
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
1. リーダーシップの表明と体制の構築
(1) サイバーセキュリティリスクの認識、組織全体での対応の策定
(2) サイバーセキュリティリスク管理体制の構築
2. サイバーセキュリティリスク管理の枠組み決定
(3) サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
(4) サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
(5) 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
3. リスクを踏まえた攻撃を防ぐための事前対策
(6) サイバーセキュリティ対策のための資源(予算、人材等)確保
(7) IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
(8) 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
4. サイバー攻撃を受けた場合に備えた準備
(9) 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
以上のことが策定されています。
経営者の皆さん、是非ご一読の上、可能な限り実施してみてください。
詳細は下記のリンクからご覧いただけます。