サイバーセキュリティ経営ガイドライン Ver.2.0(案)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2015年12月に経済産業省・IPA(独立行政法人 情報処理推進機構)により公表された「サイバーセキュリティ経営ガイドライン」は、従業員数5千人超の企業の58.2%に活用されているそうです。
このガイドラインは、経営者を第一義的な読者として想定しており、サイバー攻撃から企業を守る観点で、以下の内容がまとめられています。
・経営者が認識する必要のある「3原則」
・担当幹部(CISO)に指示すべき「重要10項目」
以下、当メルマガでご紹介した過去記事です。
▼「サイバーセキュリティ経営ガイドライン」(2016年1月16日)
https://ameblo.jp/management-souken/entry-12117979972.html
▼「サイバーセキュリティ経営ガイドライン解説書」(2016年12月16日)
https://ameblo.jp/management-souken/entry-12229049352.html
このガイドラインについて、より一層の普及を図るため、昨今のサイバーセキュリティの動向も考慮した改訂案が作られ、9月28日より意見募集が開始されました。
ざっと確認したところ、主な改訂内容(案)は以下のとおりです。
<経営者が認識する必要がある「3原則」>
大きな意味合いは変わっていませんが、以下のとおり、より簡潔でわかりやすい表現に整理されています。
(1) 経営者はリーダーシップをとってサイバー攻撃のリスクと企業への
影響を考慮したサイバーセキュリティ対策を推進するとともに、
成長のためのセキュリティ投資を実施することが必要である。
(2) 自社のみならず、系列企業などのビジネスパートナーも含めた
総合的なサプライチェーンに対するサイバーセキュリティ対策が
必要である。
(3) 平時からのサイバーセキュリティ対策に関する情報開示など、
ステークホルダー(顧客や株主など)を含めた関係者との適切な
コミュニケーションをはかり、信頼を醸成することが必要である。
<担当幹部(CISO等)に指示すべき「重要10項目」>
項目数は変わらないものの、以下のように並びの変更、統合整理及び新規追加が見られます。
(1) サイバーセキュリティリスクへの対応について、組織の内外に
示すための方針(セキュリティポリシー)を策定すること。
*現行版(1)変更なし
(2) セキュリティポリシーに基づく対応策を実装できるよう、
適切な管理体制を構築すること。その中で、責任を明確化すること。
*現行版(2)表現見直し
(3) サイバーセキュリティ対策の着実な実施に備え、必要な予算の確保
や人材育成など資源の確保について検討すること。
*現行版(6)表現見直し
(4) 経営戦略を踏まえて守るべき情報を特定し、サイバーセキュリティ
リスクを洗い出すとともに、そのリスクへの対処に向けた計画を
策定すること。
*現行版(3)表現見直し
(5) サイバーセキュリティリスクに対応するための防御・検知・分析に
関する対策を実施する体制を構築すること。
*新規追加
(6) サイバーセキュリティ対策に関する計画が確実に実施され、
改善が図られるよう、PDCAを実施すること。また、対策状況に
ついては、定期的に経営者に対して報告をするとともに、
ステークホルダーからの信頼性を高めるべく適切に開示すること。
*現行版(4)表現見直し
(7) サイバー攻撃を受けた場合、被害拡大を防ぐためにCSIRT等の整備や、
初動対応マニュアルの策定、被害発覚後の通知先や開示が必要な
情報項目の整理など緊急時の対応体制を整備すること。
*現行版(9)(10)統合整理
(8) 被害に備えた復旧体制(復旧計画の策定、BCP担当との連携)を
整備すること。
*新規追加
(9) サプライチェーンのビジネスパートナーや委託先等を含め、
自社同様にサイバーセキュリティ対策を行わせること。
*現行版(5)(7)統合整理
(10) サイバーセキュリティに関する情報共有活動に参加し、
最新の状況を自社の対策に反映すること。また、可能な限り、
自社への攻撃情報を情報共有活動に提供し、同様の被害が
社会全体に広がることの未然防止に貢献するよう努めること。
*現行版(8)表現見直し
<付録>
(A)サイバーセキュリティ経営チェックシート
*NIST発行「サイバーセキュリティフレームワーク」との対応関係提示
*チェック項目の一部追加・修正
(B)サイバーセキュリティ対策に関する参考情報
*現行版「付録B 望ましい技術対策と参考文献」から変更
*現行版「付録B-2 技術対策の例」削除
(C)インシデント発生時に調査すべき事項
*新規追加
(D)国際規格ISO/IEC27001及び27002との関係
*「重要10項目」変更に合わせた再整理
(E)用語の定義
*現行版から「情報セキュリティ」削除、「BCP」追加
以上のように、最新の状態が反映され、内容の充実が図られ、わかりやすく整理された印象です。
詳しくは以下をご確認ください。
▼サイバーセキュリティ経営ガイドラインの改訂案に関するパブコメ
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595217027&Mode=0
(意見締切日:2017年10月12日)