IPA(独立行政法人 情報処理推進機構)と経済産業省が連名で「サイバーセキュリティ経営ガイドライン」を公開しています。

サイバーセキュリティ経営ガイドラインとは

近年、サイバー攻撃等が多発している一方で、企業でのITの利活用を推進しています。その中で経営者が認識すべきセイバーセキュリティに関する原則や、取り組むべき項目についてまとめられたものです。

主な概要は以下の通りです。

経営者が認識すべき3原則

経営者は以下の3原則を認識し、対策を進めることが重要です。

  1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目

経営者は、CISO(最高情報セキュリティ責任者)等に対して以下の10項目を指示し、着実に実施させ、実施内容について定期的に報告を受けることが必要です。自組織で困難なものは、外部委託も検討する必要があります。なお、内容の詳細については、ガイドラインをご覧ください。

  1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  2. サイバーセキュリティリスク管理体制の構築
  3. サイバーセキュリティ対策のための資源(予算、人材等)確保
  4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  5. サイバーセキュリティリスクに対応するための仕組みの構築
  6. サイバーセキュリティ対策におけるPDCAサイクルの実施
  7. インシデント発生時の緊急対応体制の整備
  8. インシデントによる被害に備えた復旧体制の整備
  9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
  10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

サイバーセキュリティ経営チェックシート

同ガイドラインには、「サイバーセキュリティ経営の重要10項目」について、簡単にチェックできるようなチェックシートもついています。ただ、このチェックシートに記載されているものが全てではありませんので、ご注意ください。

実践のためのプラクティス集

セイバーセキュリティ経営の重要10項目の実践に必要な事例について具体的なものが例示されています。100ページ以上と多様な事例について記載されています。何をすればよいか分からないという方や、他社はどのようなことをしているのか見てみたい方はぜひ参照してください。

各ガイドラインの入手先