7-5-2. サイバーセキュリティ経営ガイドラインの読み方
ここでは「経営者」、「情報セキュリティ対策の責任者(CISOなど)」それぞれの立場から、本ガイドラインの内容を実践する際の役割、認識するべきことについて記載します。
対象者
経営者
役割
- 「3原則」の理解
- 重要10項目について、情報セキュリティ対策の責任者(CISOなど)に指示を出す
- リーダーシップの発揮
認識すべきこと
ERM(エンタープライズリスクマネジメント)にサイバー攻撃のリスクを含めること
現在、企業活動の多くはITに依存しています。そのため、内部統制システムの構築や、コーポレートガバナンス・コードに基づく開示と対話などにおいて、サイバー攻撃のリスクを考慮する必要があります。
サプライチェーン上のリスクを認識すること
現在、サプライチェーンの多様化が進み、サイバー攻撃の起点は広く拡散しています。したがって、サプライチェーン全体を考慮したリスクマネジメントが必要です。
サイバーセキュリティ対策は担当者に丸投げしてはいけない
経営者は、インシデント発生時に法的・社会的責任を負い、事業停止や新たな脅威に対処するための経営判断を迫られることがあります。そのため、経営者は、サイバーセキュリティ対策を担当者に丸投げせずに、自ら主体的に取組む必要があります。
サイバーセキュリティ対策は投資と位置付けること
サイバーセキュリティ対策への投資では、直接的な収益を算出することは困難です。しかし、サイバーセキュリティ対策への投資は、企業活動におけるコストや損失を減らすために必要不可欠な投資であるとともに、将来の事業活動・成長に必須な投資でもあります。
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」を基に作成
ERM(エンタープライズリスクマネジメント)とは
企業が直面するリスクに対して、企業全体で管理することです。国際競争や情報技術の急速な進化により、企業が直面するリスクも多様化しています。このような状況下で、従来の部門ごとにリスクに対して管理するのではなく、企業全体で管理することが重要です。
対象者
情報セキュリティ対策を実施する上で責任者となる担当幹部(CISOなど)
役割
- 重要10項目を理解すること
- 経営者に対して適宜状況報告を行い、経営者が適切な判断を行うために必要な情報を提供すること
認識すべきこと
経営者から指示される以下の事項に関して、より具体的な取組方を検討し、セキュリティ担当者に対して指示する必要があること
- サイバーセキュリティリスクの管理体制構築
- サイバーセキュリティリスクの特定と対策の実装
- インシデント発生に備えた体制を構築
- サプライチェーンセキュリティ対策の推進
- ステークホルダーを含めた関係者とのコミュニケーションの推進
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」を基に作成