【経営者必見】サイバーセキュリティ経営ガイドラインとは?


先日、IPA(情報処理推進機構)から「サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集」という小冊子が発行されました。

概要としては、「経営層によるサイバーセキュリティ対策の推進が求められている」という前提のもと、それをより具体的に実践するために事例や考え方、ヒントを提供する内容となっています。

冊子が想定する読者

冊子が想定する読者ですが、この時点で横文字が出てきているので、横文字アレルギーの方にはいきなりしんどいような気がしています(冊子の末尾に用語集が付録としてついていますが)。

想定する読者は、

  1. サイバーセキュリティに向けてリスクマネジメントを強化したい経営者
  2. サイバーセキュリティ対策の責任者となる担当幹部、CISO
  3. サイバーセキュリティ対策の担当者、CSIRTのメンバー等
  4. 上記人材の育成や支援を担当する社内外の事業者

となっています。実際には1,2の経営層よりも、3,4が読者の大半と思われます。

ちなみに、CISO(シーアイエスオー)とは、最高●●責任者系の用語で、「Chief Information Security Officer 最高情報セキュリティ責任者」となります。CISO専任者を設置出来るのは大企業に限られると思いますので、私は一般的には専任でなくてもよいと考えております。

また、CSIRT(シーサート)とは、 Computer Security Incident Response Teamの略で、組織内の情報セキュリティ問題を専門に扱うチームのことです。CSIRTも同様に専任でなくても良いと思います。

章の構成と注目ポイント

冊子は全3章から構成されています。

第1章はサイバーセキュリティの概要(経営への影響など)、第2章は事例の紹介(社員数1,000人規模以上の事例が多数)、第3章はセキュリティ担当者の悩みという構成になっています。

個人的には、第3章が着眼点的に面白いと思いました。

どうしようもないことを書いてしまいますが、この冊子は、「サイバーセキュリティー経営ガイドライン」と銘打たれているものの、多くの経営者は読まないでしょう。結局目を通すのは実務担当者になるという訳です。ですから、担当者の悩みという切り口で章を立てることは理にかなっていると思います。

第3章では、担当者の悩みという切り口で課題を10個列挙しています。

そのうちの二つをピックアップしてみます。

続きはこちらからご覧ください


The following two tabs change content below.
斎藤学
斎藤情報システムデザイン事務所代表。
中小企業診断士・ITストラテジスト。
「中小企業における情報システムのかかりつけ医でありたい」をモットーにITコンサルタントとして活動中。

コメント

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA