経済産業省サイバーセキュリティ経営ガイドライン

セキュリティ事業部

経済産業省サイバーセキュリティ経営ガイドライン

「サイバーセキュリティ経営ガイドライン」は経済産業省で、独立行政法人情報処理推進機構(IPA)とともに、大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、策定したものです。

サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。

 

経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要である。

(1)経営者のリーダーリップが重要
経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(経営者はリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を
推進するとともに、企業の成長のためのセキュリティ投資を実施すべきである。)

(2)自社以外(ビジネスパートナー等)にも配慮
自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
(自社のサイバーセキュリティ対策にとどまらず、サプライチェーンのビジネスパートナーや委託先も含めた総合的なサイバーセキュリティ対策を実施すべきである。)

(3)平時からのコミュニケーション・情報共有
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
(平時からステークホルダー(顧客や株主など)を含めた関係者にサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成し、インシデント発生時にもコミュニケーションが円滑に進むよう備えるべきである。)

 

サイバーセキュリティ経営の重要10項目

経営者は、サイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に対して以下の重要10項目を指示すべきである。

<経営者がリーダーシップをとったセキュリティ対策の推進>
 (サイバーセキュリティリスクの管理体制構築)
指示1 : サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 : サイバーセキュリティリスク管理体制の構築
指示3 : サイバーセキュリティ対策のための資源(予算、人材等)確保

 (サイバーセキュリティリスクの特定と対策の実装)
指示4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 : サイバーセキュリティリスクに対応するための仕組みの構築
指示6 : サイバーセキュリティ対策における PDCA サイクルの実施

 (インシデント発生に備えた体制構築)
指示7 : インシデント発生時の緊急対応体制の整備
指示8 : インシデントによる被害に備えた復旧体制の整備

<サプライチェーンセキュリティ対策の推進>
指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

<ステークホルダーを含めた関係者とのコミュニケーションの推進>
指示10: 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

 

参照HP:IPA 情報処理推進機構
参照HP経済産業省