サイバーセキュリティ経営ガイドライン？

AI だ DX だと、IT を活用したいと思うけど、セキュリティとかどうすればいいのかわからない。という人も多いと思います。だって IT 業界で働いている僕でも、最近はサイバー攻撃の方法は多岐にわたっていて、セキュリティ対策なんて言われるとソワソワします。

そこで、ひとまず経済産業省が「サイバーセキュリティ経営ガイドライン」なるものを作成しておりますので、これを見てみると、何をしないといけないのかが、ざっくりと分かります。

と言うわけで少し目を通してみましたが、これは普通の人がみてもいまいちピンと来ないかもなぁ、とも思いますが、概要は以下のようなもの。

詳しくは経済産業省のページへ（下にリンクがあります）。

経営者が認識すべき３原則

1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

サイバーセキュリティ経営の重要１０項目

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源（予算、人材等）確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに対応するための仕組みの構築
6. サイバーセキュリティ対策における PDCA サイクルの実施
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策、及び状況把握
10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

詳しくは

サイバーセキュリティ経営ガイドライン