サイバーセキュリティ経営ガイドラインとは?
「サイバーセキュリティ経営ガイドライン」は、サイバー攻撃から企業を守る観点で、経済産業省と独立行政法人情報処理推進機構(IPA)が策定公開した資料です。冒頭から“サイバーセキュリティは経営問題”と定義し、経営者を中心とした組織的な対策の見直し・強化を求めています。
「サイバーセキュリティ経営の3原則」、「サイバーセキュリティ経営の重要10項目」で構成されており、システム面、運用面、組織面など総合的な対応が必要です。
経営者は、以下の3原則を認識し、対策を進めることが重要である。
経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
経営者は、サイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に対して以下の重要10項目を指示すべきである。
※CISO:Chief Information Security Officer
サイバーセキュリティ経営の重要10項目 |
日立システムズがお客さまをサポートします |
||
|---|---|---|---|
リスク管理体制の構築 |
サイバーセキュリティリスクの認識、組織全体での対応方針の策定 |
|
|
| サイバーセキュリティリスク管理体制の構築 |
|
||
| サイバーセキュリティ対策のための資源(予算、人材等)確保 | |||
リスクの特定と対策の実装 |
サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 | ||
| サイバーセキュリティリスクに対応するための仕組みの構築 ※新規項目 |
|||
| サイバーセキュリティ対策におけるPDCAサイクルの実施 | |||
インシデントに備えた体制構築 |
インシデント発生時の緊急対応体制の整備 | ||
| インシデントによる被害に備えた復旧体制の整備 ※新規項目 |
|||
サプライチェーンセキュリティ |
ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 | ||
関係者とのコミュニケーション |
情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 | ||
セキュリティソリューション「SHIELD」
セキュリティ導入時のコンサルテーションからポリシー作成、システム構築、運用まで、専門家による豊富なノウハウでお応えするワンストップソリューションです。
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
