近年におけるサイバー攻撃の高度化、改正個人情報保護法の施行、マイナンバー法施行等といった企業における経営環境は変化し、今やサイバーセキュリティは経営問題となっています。このような経営環境を配慮し、経済産業省と情報処理推進機構(IPA)は2015.12.28に、「サイバーセキュリティ経営ガイドライン」を策定したことを発表しています。
<サイバーセキュリティ経営の3原則>
❏ 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
❏ 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
❏ 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
<サイバーセキュリティ経営の重要10項目>
❏ サイバーセキュリティリスクの認識、組織全体での対応の策定
❏ サイバーセキュリティリスク管理体制の構築
❏ サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
❏ サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
❏ 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
❏ サイバーセキュリティ対策のための資源(予算、人材等)確保
❏ ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
❏ 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
❏ 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
❏ 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
当該ガイドラインは、ITリテラシーが必ずしも高くない経営者に納得してもらうため、専門用語が排除されており、非常に理解しやすい内容となっています。また、遵守すればサイバー保険の割引が受けられるだけでなく、裁判での免責につながる可能性が高いと言われており、経営者は対策の実施が急務でしょう。
【執筆者:公認会計士・公認不正検査士 松澤公貴】 Webサイト | www.jp-kmao.com
0 件のコメント:
コメントを投稿