経済産業省とIPA(情報処理推進機構)は3月24日、「サイバーセキュリティ経営ガイドライン Ver3.0」を発表した。また同ガイドラインの「付録A-2」に対応した「サイバーセキュリティ経営可視化ツール Ver2.0」(Excel版)も公開した。
「サイバーセキュリティ経営ガイドライン」は、企業経営者を対象にサイバーセキュリティ推進のためのガイドラインをまとめたもの。経営者が認識すべき「3原則」と経営者が情報セキュリティ責任者に指示すべき「重要10項目」をまとめている。
同ガイドラインは2015年にVer1.0がリリースされ、2017年にVer2.0を公開。さらにその後のサイバー攻撃の多様化や被害の拡大を踏まえて今回改訂した。また新たな付録として、「付録C」サイバーセキュリティインシデントに備えるための参考情報と「付録F」体制構築や人材確保(指示2・3関連)について具体的な検討を行う際の参考となる手引きも追加した。Ver3.0は全53ページ。
「付録A-2」に対応した「サイバーセキュリティ経営可視化ツール Ver2.0」(Excel版)は、「使い方ガイド」「チェックリスト」「可視化結果」の3種類のシートから成る。「チェックリスト」の40設問にすべて回答すると、「可視化結果」が自動的に集計され、レーダーチャートにもマッピングされる。可視化の結果を、企業のサイバーセキュリティの成熟度や状況を把握するデータとして活用できる。
「サイバーセキュリティ経営ガイドライン Ver3.0」目次
1.はじめに
1.1.サイバーセキュリティ経営ガイドラインの背景と位置づけ
1.2.本ガイドラインの構成と活用方法
2.経営者が認識すべき3原則
3.サイバーセキュリティ経営の重要10項目
3.1.サイバーセキュリティリスクの管理体制構築
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
3.2.サイバーセキュリティリスクの特定と対策の実装
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCA サイクルによるサイバーセキュリティ対策の継続的改善
3.3.インシデント発生に備えた体制構築
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
3.4.サプライチェーンセキュリティ対策の推進
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
3.5.ステークホルダーを含めた関係者とのコミュニケーションの推進
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進
付録A サイバーセキュリティ経営チェックシート
付録B サイバーセキュリティ対策に関する参考情報
付録D 関連する規格・フレームワーク等との関係
付録E 用語の定義
[i Magazine・IS magazine]