経済産業省 サイバーセキュリティ経営ガイドラインを改訂

日本の経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針として、経済産業省、独立行政法人情報処理推進機構(IPA)が協力して平成27年12月に策定している「サイバーセキュリティ経営ガイドライン」が改訂されました。

同省では事前対策だけでは対処が困難となってきているとし、特に、日本を含むアジア諸国は世界の平均よりもサイバー攻撃の発見に時間を要する傾向にあること、また一方、米欧では、こうした状況を踏まえて対処方針の見直しが進められ、事後対策を国内企業に求めるなど、検知・対応・復旧といった事後対策の取組にも重点が置かれるようになっているとして、今回の改訂版では事後対策の追加に重きを置いているとのことです。

【改訂のポイント】

●経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施しました。
●「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制についての記載を行いました。
●「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」についての記載を行いました。
●「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目の整理を行いました。

【公表】

平成29年11月16日(木)

「サイバーセキュリティ経営ガイドライン」は個人情報保護法など関連する法律などを保管する位置づけにあり、企業経営者が取るべきサイバーセキュリティ対策を具体的にまとめています。インシデントは100%防ぐことはできませんが、攻撃手法が進化するように対策も進化していきます。自社の対策がどうなっているのかの確認もしくは外部に委託している場合は、委託先がちゃんと認識して対策しているのかを確認する指針としてとても有効です。一度、きちんとガイドラインを確認されることをお勧めします。

詳細;経済産業省

関連;
サイバーセキュリティ経営ガイドライン

●サイバーセキュリティ無料セミナー
『改正・個人情報保護法』講座~情シス必見!技術的安全管理措置とは!?~

<