サイバーセキュリティ経営ガイドライン実践のためのプラクティス集 | 京都で働くコンサルタントのブログ
2019-04-16 07:30:00

サイバーセキュリティ経営ガイドライン実践のためのプラクティス集

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。
 
「サイバーセキュリティ経営ガイドライン(Ver2.0)」は、2017年11月に、経済産業省とIPA(独立行政法人情報処理推進機構)より発行されています。
 
このガイドラインは、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠な企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定されたものです。
 
「Ver2.0」では、米国のサイバーセキュリティフレームワークとの整合を意識し、攻撃検知対策やインシデント対応など、深刻化するサイバー攻撃への対応強化を狙った改訂が行われました。
 
 
そして2019年3月に、このガイドラインの「実践のためのプラクティス集」が発行されました。
 
このプラクティス集は、「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例が収録されています。
 
 
目次は、以下のとおりです。
 
はじめに

第1章 経営とサイバーセキュリティ
 1.サイバー攻撃による企業活動への影響
 2.なぜサイバーセキュリティ対策は経営課題か
 3.経営者が認識すべき3原則と指示すべき重要10項目
 
第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
 指示1.サイバーセキュリティリスクの認識、組織全体での対応方針の策定
 指示2.サイバーセキュリティリスク管理体制の構築
 指示3.サイバーセキュリティ対策のための資源(予算、人材等)確保
 指示4.サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
 指示5.サイバーセキュリティリスクに対応するための仕組みの構築
 指示6.サイバーセキュリティ対策におけるPDCAサイクルの実施
 指示7.インシデント発生時の緊急対応体制の整備
 指示8.インシデントによる被害に備えた復旧体制の整備
 指示9.ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策
    及び状況把握
 指示10.情報共有活動への参加を通じた攻撃情報の入手とその有効活用
    及び提供
 
第3章 セキュリティ担当者の悩みと取組みのプラクティス
 1.インシデント対応経験がない要員でCSIRTを組成したが対応に不安がある
 2.インシデント対応の初動における情報共有に不安がある
 3.インシデントが起きた際のリスクヘッジが十分でない
 4.IoT機器が「シャドーIT」化している
 5.自前でのシステム運用の負担が大きく、セキュリティ対策に不安を感じる
 6.全国各地の拠点におけるセキュリティ管理状況に不安がある
 7.外部サービスの選定でIT部門だけでは対応が困難である
 8.IT部門のみで経営層のセキュリティ意識を向上させることに
  限界を感じている
 9.従業員に対してセキュリティ教育を実施しているが効果が感じられない
 10.スタートアップ企業のセキュリティ管理体制に不安を感じ、
  取引先として推奨できない
 
付録
 サイバーセキュリティに関する用語集
 サイバーセキュリティ対策の参考情報

 
 
第2章では、重要10項目ごとに、「実践に向けたファーストステップ」と「実践のプラクティス」がまとめられています。
 
第3章では、「セキュリティ担当者の悩み」に対する「取組みのプラクティス」がまとめられています。
 
 
具体的な実践事例を知ることができるため、これまで以上に「サイバーセキュリティ経営ガイドライン」の実践に向けての理解を深められると考えます。
 
ぜひ一度ご確認いただければと思います。
 
 
▼サイバーセキュリティ経営ガイドライン Ver2.0
 実践のためのプラクティス集

https://www.ipa.go.jp/security/fy30/reports/ciso/index.html

 
 
 
 
 

株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ