セキュリティガイドラインのプラクティス集が公開
ハロウィーンも終わり、11月なのに異例の暑さで、阪神もアレ(日本一)となった三連休も終わり、今年もあと2か月を切りました。
体感的には怒涛の勢いで月日が流れている感じがして恐ろしいのですが、皆さま、いかがお過ごしでしょうか。
さて、最近リリースされた興味深い資料として、IPAから「サイバーセキュリティ経営ガイドライン」の補助資料「実践のためのプラクティス集」の新版が10/31に公開されました。
https://www.ipa.go.jp/security/economics/csm-practice.html
おおもとのガイドラインでは、対策を実施する上で、各責任者へ以下の10項目を確実に遂行されるように指示をすべきとしています。
指示1 : サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 : サイバーセキュリティリスク管理体制の構築
指示3 : サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 : サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 : PDCA サイクルによるサイバーセキュリティ対策の継続的改善
指示7 : インシデント発生時の緊急対応体制の整備
指示8 : インシデントによる被害に備えた事業継続・復旧体制の整備
指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10: サイバーセキュリティに関する情報の収集、共有及び開示の促進
今回、更新されたプラクティス集は、上記の各項目に関して、具体的にどう進めるかのイメージを持ってもらうための実践集となります。
セキュリティ施策を進めるにあたっても、現状のシステムの保守の体制やITの導入状況、サプライチェーン上の他企業との関係性など、事情がそれぞれ異なってきます。
具体的な事例の他にも、セキュリティ担当者のよくある悩みとそれに対する施策例なども参考になるのではないでしょうか。
補助資料といっても100ページを超えるボリュームですので、全部を通読するには相応の時間がかかります。
最初の目次部分と「はじめに」の部分で、自分に関係しそうか判断してから読み進めると良いと思います。