経済産業省が指針「セキュリティは経営者の責務」 課題と成果

経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務――。こうした文言が盛り込まれた指針が、2015年12月、経済産業省から公表された。「サイバーセキュリティ経営ガイドライン」の狙いとは何か。担当者に話を聞いた。

図表1 「サイバーセキュリティ経営ガイドライン」の概要

経営者が認識する必要がある「3つの原則」

  1. (1)経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. (2)自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、IT システム管理の委託先を含めたセキュリティ対策が必要
  3. (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

 

情報セキュリティ担当幹部に指示すべき「重要10項目」

1 リーダーシップの表明と体制の構築

  1. (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
  2. (2)サイバーセキュリティリスク管理体制の構築

 

2 サイバーセキュリティリスク管理の枠組み決定

  1. (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
  2. (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
  3. (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

 

3 サイバー攻撃を防ぐための事前対策

  1. (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
  2. (7)IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
  3. (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

 

4 サイバー攻撃を受けた場合に備えた準備

  1. (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
  2. (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

出典:経産省資料

全文を読むには有料プランへのご登録が必要です。

  • 記事本文残り71%

月刊「事業構想」購読会員登録で
全文読むことができます。
今すぐ無料トライアルに登録しよう!

初月無料トライアル!

  • 雑誌「月刊事業構想」を送料無料でお届け
  • バックナンバー含む、オリジナル記事15,000本以上が読み放題
  • フォーラム・セミナーなどイベントに優先的にご招待

※無料体験後は自動的に有料購読に移行します。無料期間内に解約しても解約金は発生しません。