サイバーセキュリティ経営ガイドラインとは
経済産業省が策定しているもので、企業の経営者向けにサイバー攻撃への対応方法が明記されているものです。
2015年から公開され、最新版は2017年11月公開のVer2.0になります。
その中で経営者の3原則と指示すべき重要事項10項目が示されています。
【経済産業省「サイバーセキュリティ経営ガイドライン」より抜粋】
●経営者の3原則
- サイバーセキュリティの認識と、対策へのリーダシップ
- 自社、および、ビジネスパートナー・委託先も含めたセキュリティ 対策
- 関係者との適切なコミュニケーション
●重要事項10項目
- サイバーセキュリティ リスクの認識、組織全体での対応方針の策定
- サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策のための資源(予算、人材等)確保
- サイバーセキュリティリスクの把握とリスク対応に関する計 画の策定
- サイバーセキュリティリスクに対応するための仕組みの構築
- サイバーセキュリティ対策におけるPDCAサイクルの実施
- インシデント発生時の緊急対応体制の整備
- インシデントによる被害に備えた復旧体制の整備
- ビジネスパートナーや委託先等を含めたサプライ チェーン全体の対策及び状況把握
- 情報共有活動への参加を通じた攻撃情報の入手とそ の有効活用及び提供
最新版への改訂にあたっては、サイバー攻撃を受けた後の事後対策、特に検知や復旧といった項目の充実が図られています。
このガイドラインで特に役立つのが、付録C「インシデント発生時に組織内で整理しておくべき事項」です。
汎用的なサイバー攻撃から、情報漏洩、ウィルス感染、不正アクセス、DoS攻撃の各パターン毎に調査や事後対策の内容が記載されています。
Excelデータで提供されていて、事前とインシデント発生時に自組織に合わせて記載しておくことができます。