経済産業省が指針「セキュリティは経営者の責務」 課題と成果

経営者が認識する必要がある「3つの原則」

1. （1）経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2. （2）自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、IT システム管理の委託先を含めたセキュリティ対策が必要
3. （3）平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

情報セキュリティ担当幹部に指示すべき「重要10項目」

1 リーダーシップの表明と体制の構築

1. （1）サイバーセキュリティリスクの認識、組織全体での対応の策定
2. （2）サイバーセキュリティリスク管理体制の構築

2 サイバーセキュリティリスク管理の枠組み決定

1. （3）サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
2. （4）サイバーセキュリティ対策フレームワーク構築（PDCA）と対策の開示
3. （5）系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

3 サイバー攻撃を防ぐための事前対策

1. （6）サイバーセキュリティ対策のための資源（予算、人材等）確保
2. （7）IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
3. （8）情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

4 サイバー攻撃を受けた場合に備えた準備

1. （9）緊急時の対応体制（緊急連絡先や初動対応マニュアル、CSIRT）の整備、定期的かつ実践的な演習の実施
2. （10）被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備