経済産業省は独立行政法人情報処理推進機構とともに「サイバーセキュリティ経営ガイドライン」を策定した。サイバー攻撃から企業を守る観点で経営者が認識する必要のある「3原則」と、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめた。
3原則は▽経営者はIT活用を推進する中でサイバーセキュリティリスクを認識 し、リーダーシップによって対策を進めることが必要▽系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要▽平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要―という内容。
重要10項目は◇組織全体での対応の策定◇対策フレームワーク構築(PDCA)と対策の開示◇対策のための資源(予算、人材等)確保◇情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備◇緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施◇被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備―など。
■参考:経済産業省|サイバーセキュリティ経営ガイドラインを策定しました|
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
