サイバーセキュリティ経営ガイドライン Ver.2.0(案) | 京都で働くコンサルタントのブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

ブログ画像一覧を見る

このブログをフォローする

サイバーセキュリティ経営ガイドライン Ver.2.0(案)

皆さん、こんにちは。

(株)マネジメント総研の小山です。

 

2015年12月に経済産業省・IPA(独立行政法人 情報処理推進機構)により公表された「サイバーセキュリティ経営ガイドライン」は、従業員数5千人超の企業の58.2%に活用されているそうです。

このガイドラインは、経営者を第一義的な読者として想定しており、サイバー攻撃から企業を守る観点で、以下の内容がまとめられています。
・経営者が認識する必要のある「3原則」
・担当幹部(CISO)に指示すべき「重要10項目」


以下、当メルマガでご紹介した過去記事です。

▼「サイバーセキュリティ経営ガイドライン」(2016年1月16日)
https://ameblo.jp/management-souken/entry-12117979972.html

▼「サイバーセキュリティ経営ガイドライン解説書」(2016年12月16日)
https://ameblo.jp/management-souken/entry-12229049352.html


このガイドラインについて、より一層の普及を図るため、昨今のサイバーセキュリティの動向も考慮した改訂案が作られ、9月28日より意見募集が開始されました。


ざっと確認したところ、主な改訂内容(案)は以下のとおりです。


<経営者が認識する必要がある「3原則」>

大きな意味合いは変わっていませんが、以下のとおり、より簡潔でわかりやすい表現に整理されています。

(1) 経営者はリーダーシップをとってサイバー攻撃のリスクと企業への
  影響を考慮したサイバーセキュリティ対策を推進するとともに、
  成長のためのセキュリティ投資を実施することが必要である。

(2) 自社のみならず、系列企業などのビジネスパートナーも含めた
  総合的なサプライチェーンに対するサイバーセキュリティ対策が
  必要である。

(3) 平時からのサイバーセキュリティ対策に関する情報開示など、
  ステークホルダー(顧客や株主など)を含めた関係者との適切な
  コミュニケーションをはかり、信頼を醸成することが必要である。



<担当幹部(CISO等)に指示すべき「重要10項目」>

項目数は変わらないものの、以下のように並びの変更、統合整理及び新規追加が見られます。

(1) サイバーセキュリティリスクへの対応について、組織の内外に
   示すための方針(セキュリティポリシー)を策定すること。
  *現行版(1)変更なし

(2) セキュリティポリシーに基づく対応策を実装できるよう、
   適切な管理体制を構築すること。その中で、責任を明確化すること。
  *現行版(2)表現見直し

(3) サイバーセキュリティ対策の着実な実施に備え、必要な予算の確保
   や人材育成など資源の確保について検討すること。
  *現行版(6)表現見直し

(4) 経営戦略を踏まえて守るべき情報を特定し、サイバーセキュリティ
   リスクを洗い出すとともに、そのリスクへの対処に向けた計画を
   策定すること。
  *現行版(3)表現見直し

(5) サイバーセキュリティリスクに対応するための防御・検知・分析に
   関する対策を実施する体制を構築すること。
  *新規追加

(6) サイバーセキュリティ対策に関する計画が確実に実施され、
   改善が図られるよう、PDCAを実施すること。また、対策状況に
   ついては、定期的に経営者に対して報告をするとともに、
   ステークホルダーからの信頼性を高めるべく適切に開示すること。
  *現行版(4)表現見直し

(7) サイバー攻撃を受けた場合、被害拡大を防ぐためにCSIRT等の整備や、
   初動対応マニュアルの策定、被害発覚後の通知先や開示が必要な
   情報項目の整理など緊急時の対応体制を整備すること。
  *現行版(9)(10)統合整理

(8) 被害に備えた復旧体制(復旧計画の策定、BCP担当との連携)を
   整備すること。
  *新規追加

(9) サプライチェーンのビジネスパートナーや委託先等を含め、
   自社同様にサイバーセキュリティ対策を行わせること。
  *現行版(5)(7)統合整理

(10) サイバーセキュリティに関する情報共有活動に参加し、
   最新の状況を自社の対策に反映すること。また、可能な限り、
   自社への攻撃情報を情報共有活動に提供し、同様の被害が
   社会全体に広がることの未然防止に貢献するよう努めること。
  *現行版(8)表現見直し



<付録>

(A)サイバーセキュリティ経営チェックシート
 *NIST発行「サイバーセキュリティフレームワーク」との対応関係提示
 *チェック項目の一部追加・修正

(B)サイバーセキュリティ対策に関する参考情報
 *現行版「付録B 望ましい技術対策と参考文献」から変更
 *現行版「付録B-2 技術対策の例」削除

(C)インシデント発生時に調査すべき事項
 *新規追加

(D)国際規格ISO/IEC27001及び27002との関係
 *「重要10項目」変更に合わせた再整理

(E)用語の定義
 *現行版から「情報セキュリティ」削除、「BCP」追加



以上のように、最新の状態が反映され、内容の充実が図られ、わかりやすく整理された印象です。


詳しくは以下をご確認ください。

▼サイバーセキュリティ経営ガイドラインの改訂案に関するパブコメ
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595217027&Mode=0

(意見締切日:2017年10月12日)





 

ブログ画像一覧を見る

このブログをフォローする