サイバーセキュリティ経営ガイドラインとは何か?情報セキュリティマネジメント試験に出題される用語を解説

サイバーセキュリティ経営ガイドラインとは?

近年サイバー攻撃が深刻化しています。その一方で、ビッグデータ分析など、情報システムの利用はますます広がっています。
そうした状況の中、経済産業省とIPAが策定したのが「サイバーセキュリティ経営ガイドライン」です。
サイバーセキュリティ経営ガイドラインでは企業が守るべき3つの重要原則と10の重要項目を挙げています。
情報セキュリティマネジメント試験にも出題される内容なので、ここで概観していきましょう。

経営者が認識すべき3原則

まずは経営者が認識すべき3つの原則を見ていきましょう。
これはガイドラインの理念ともいうべき部分で、経営者が念頭に置かなければならない事項です。

  1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目

つぎはサイバーセキュリティ経営の重要10項目を見ていきましょう。これらは実際の行動内容とも言えるものです。

  1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  2. サイバーセキュリティリスク管理体制の構築
  3. サイバーセキュリティ対策のための資源(予算、人材等)確保
  4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  5. サイバーセキュリティリスクに対応するための仕組みの構築
  6. サイバーセキュリティ対策における PDCA サイクルの実施
  7. インシデント発生時の緊急対応体制の整備
  8. インシデントによる被害に備えた復旧体制の整備
  9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
  10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

サプライチェーン全体を考える

情報セキュリティマネジメント試験の平成29年春にも出題されましたが、サイバーセキュリティ経営は自社内だけで完結するものではなく、ビジネスパートナー委託先も含めたものです。
例え自社のセキュリティ対策がバッチリでも、ビジネスパートナーから情報が漏れてしまっては元も子もありません。
こうしたトラブルを防ぐために、ビジネスパートナーのセキュリティ対策も含めて考えていく必要があります。

参考