サイバーセキュリティ経営ガイドライン Ver 2.0
発行機関:経済産業省/情報処理推進機構(IPA)
発行年月日:2017年11月16日(Ver.2.0)
https://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf
概要
「サイバーセキュリティ経営ガイドライン」は経済産業省とIPAが共同で策定した企業向けのセキュリティガイドラインです。企業の経営者が、CISO(Chief Information Security Officer 最高情報セキュリティ責任者)に対して指示すべきセキュリティ対策実施の指針を10個にまとめたものです。
「サイバーセキュリティは経営問題」とし、経営者が認識すべき3原則を解説した後、
CISOに指示する10項目をまとめています。
経営者が認識すべき3原則
- 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
- 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
- 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
指示 | 指示内容 | 詳細 |
指示1 | サイバーセキュリティリスクの認識、組織全体での対応方針の策定 | 経営者はサイバーセキュリティリスクを経営リスクとして認識し、どのように対処するのか方針をポリシーとして定めて社内外に周知します。 |
指示2 | サイバーセキュリティリスク管理体制の構築 | セキュリティリスクの管理体制の構築を指示します。 |
指示3 | サイバーセキュリティ対策のための資源(予算、人材等)確保 |
人や物、予算等の資源の確保には経営層の関与が欠かせません。セキュリティ対策の実施には経営層の支援が必要になります。 |
指示4 | サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 | ECサイトを運営する会社であれば個人情報の漏洩(機密性)、工場であれば稼働停止(可用性)の様に、企業によって対策を講じるリスクが異なります。経営戦略の観点から守るべき情報を特定させた上で、サイバー攻撃の脅威や影響度からリスクを把握し、対応するための計画をたてます。 |
指示5 | サイバーセキュリティリスクに対応するための仕組みの構築 | 指示4で立てたセキュリティ対策の計画に従って機器の導入や運用体制の整備を指示します。 |
指示6 | サイバーセキュリティ対策におけるPDCAサイクルの実施 | 指示4、指示5によって講じたセキュリティ対策に関して、経営層は報告を受け、改善指示をすることで継続的にPDCAを回します。 |
指示7 | インシデント発生時の緊急対応体制の整備 | CSIRTと呼ばれるインシデント発生時の対応や、平時に脅威動向などの情報収集を行う体制を整備します。 |
指示8 | インシデントによる被害に備えた復旧体制の整備 | インシデントに対する備えを指示します。 |
指示9 | ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 | 委託等、外部ベンダと絡む部分については契約等を見直し、責任範囲を明確にします。 |
指示10 | 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 | 自社だけにとどまらず、セキュリティの脅威情報の共有等が必要になります。 |
「付録A:サイバーセキュリティ経営チェックシート」では、指示内容とNISTが提供するサイバーセキュリティフレームワークとの対応関係を示しています。
サイバーセキュリティフレームワークに関する本サイト記事
「重要インフラのサイバーセキュリティを改善するためのフレームワーク」の概要 - 家studyをつづって
また、IPAではサイバーセキュリティ経営ガイドラインの指示を具体的に実施するための手引きとして、サイバーセキュリティ経営ガイドライン実践のためのプラクティス集を公開しています。
サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集に関する本サイト記事
「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集」の概要 - 家studyをつづって