サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
発行年月日:2019年3月25日
https://www.ipa.go.jp/security/fy30/reports/ciso/index.html
※資料のダウンロードには簡単なアンケートへの回答が必要になります。
概要
サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集は、経済産業省と独立行政法人情報処理推進機構(IPA)は、2017年11月に発行したサイバーセキュリティ経営ガイドラインVer 2.0に対して、ガイドラインの重要10項目を実践する際に参考となる考え方やヒント、実施手順、実践事例が記載されています。
また、プラクティス集は、企業へのアンケートを通じて収集した、実際に行われている施策に基づいたものとなります。1章では主に経営層に向けた内容として、サイバー攻撃を受けた企業の被った被害(金銭の詐取や、株価の下落)についても記載がありました。
サイバーセキュリティ経営の重要10項目と実践のプラクティス
サイバーセキュリティ経営の重要10項目 | 実践のプラクティス |
1.サイバーセキュリティリスクの認識、 組織全体での対応方針の策定 |
・経営者がサイバーセキュリティリスクを認識するための、 他社被害事例の報告 ・セキュリティポリシーの改訂 ・共同管理 |
2.サイバーセキュリティリスク管理体制の構築 | ・サイバーセキュリティリスクに対応するための、 兼任のサイバーセキュリティ管理体制の構築 |
3.サイバーセキュリティ対策のための資源(予算、人材等)確保 |
・サイバーセキュリティ対策のための、予算の確保 ・サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義、育成 |
4.サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 |
情報資産に対するリスク分析に関する参考情報として、「中小企業の情報セキュリティ対策ガイドライン第3版」が紹介されています。 ・本ブログ記事 |
5.サイバーセキュリティリスクに対応するための仕組み構築 |
・多層防御の実施 ・アクセスログの取得 |
6.サイバーセキュリティ対策におけるPDCAサイクルの実施 | 参考情報として、「組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク(IPA)」が紹介されています。 |
7.インシデント発生時の緊急対応体制の整備 |
・旗振り役としてのCSIRTの設置 ・従業員の初動対応の定義 |
8.インシデントによる被害に備えた復旧体制の整備 |
・インシデント対応時の危機対策本部との連携 ・組織内外の連絡先の定期メンテナンス |
9.ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 | ・サイバーセキュリティリスクのある委託先の特定と対策状況の確認 |
10.情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 |
外部の情報サイトとして以下のサイトが紹介されていました。 Japan Vulnerability Notes/脆弱性レポート 一覧 |