11-5. サイバーセキュリティ経営ガイドライン
11-5-1. サイバーセキュリティ経営ガイドライン
経営者が主体となってサイバーセキュリティ対策を実施する際に、経済産業省と独立行政法人情報処理推進機構(IPA)が共同で発行している「サイバーセキュリティ経営ガイドライン」が参考になります。本ガイドラインでは、経営者がサイバーセキュリティ対策を実行する際に認識するべき事項と、サイバーセキュリティ対策の責任者(CISOなど)に指示するべき事項を包括的にまとめています。
平成29年のVer2.0の公開以降、企業のサイバーセキュリティ対策を取り巻く環境が変化しました。そのため、最新の状況への認識と対策の実践が可能となるように内容が見直され、令和5年にVer3.0が最新版として公開されました。
企業のサイバーセキュリティ対策を取り巻く環境の変化
テレワークの活用
テレワークなどのデジタル環境の活用を前提とする働き方の多様化
サイバー空間とフィジカル空間のつながり インターネットなどのサイバー空間と現物の取引を行うフィジカル空間のつながりの緊密化と、それに伴うリスクの顕在化
セキュリティ対象の変化・拡大 情報資産だけでなく、制御系を含むデジタル基盤の保護がサイバーセキュリティの対象となる変化と拡大
ランサムウェアの被害 ランサムウェアによる被害の顕在化により、企業におけるサイバーセキュリティに関する被害は情報漏えいに留まらず、企業の事業活動の停止へと影響が拡大
サプライチェーンを介した被害拡大 国内外のサプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の必要性の高まり
ESG投資の拡大 ESG(Environment, Society, Governance)投資の拡大により、コーポレートガバナンスおよびERM(エンタープライズリスクマネジメント)の改善に向けた取組に対する関心の高まり
サイバー空間とフィジカル空間のつながり インターネットなどのサイバー空間と現物の取引を行うフィジカル空間のつながりの緊密化と、それに伴うリスクの顕在化
セキュリティ対象の変化・拡大 情報資産だけでなく、制御系を含むデジタル基盤の保護がサイバーセキュリティの対象となる変化と拡大
ランサムウェアの被害 ランサムウェアによる被害の顕在化により、企業におけるサイバーセキュリティに関する被害は情報漏えいに留まらず、企業の事業活動の停止へと影響が拡大
サプライチェーンを介した被害拡大 国内外のサプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の必要性の高まり
ESG投資の拡大 ESG(Environment, Society, Governance)投資の拡大により、コーポレートガバナンスおよびERM(エンタープライズリスクマネジメント)の改善に向けた取組に対する関心の高まり
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」をもとに作成
次のページからは、サイバーセキュリティ対策に取り組む上で、経営者が認識するべき事項と実行するべき事項を紹介し、経営目線でのサイバーセキュリティ対策について全体像を説明します。また、経営者とセキュリティ担当者それぞれの立場に応じて、具体的に行うべきことについて説明した後、サイバーセキュリティ対策を実践するための手順を説明します。
One Point
経営者が認識するべき3原則
経営者は、以下の3原則を認識し、対策を進める必要があります。
原則1
経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
原則2
サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先など、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
原則3
平時および緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
経営者は、以下の重要10項目について、サイバーセキュリティ対策を実施する上での責任者や担当部署(CISO、サイバーセキュリティ担当者など)への指示を通じて組織に適した形で確実に実施させる必要があります。これらは、組織のリスクマネジメントの責任を担う経営者が、単なる指示ではなく、自らの役割として発信する必要があります。リスク対策に関する実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応など、多くのことを通じてリーダーシップを発揮することが求められます。
経営者がリーダーシップをとったセキュリティ対策の推進
サイバーセキュリティリスクの管理体制構築
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材など)確保
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材など)確保
サイバーセキュリティリスクの特定と対策の実装
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
インシデント発生に備えた体制構築
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
サプライチェーンセキュリティ対策の推進
指示9 ビジネスパートナーや委託先などを含めたサプライチェーン全体の状況把握および対策
ステークホルダーを含めた関係者とのコミュニケーションの推進
指示10 サイバーセキュリティに関する情報の収集、共有および開示の促進
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」をもとに作成
サイバーセキュリティ経営の重要10項目の概要
経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき「重要10項目」のポイントと、対策例の一部を紹介します。
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
✓ サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、組織全体としての対応方針(セキュリティポリシー)を策定させる。
✓ 策定した対応方針を対外的な宣言として公表させる。
対策例
・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取ったセキュリティポリシーを策定する。その際、製造、販売、サービス等、事業が立脚している全ての基盤(設備、システム、情報等の資産、流通プロセス等)に影響を及ぼすと考えられるサイバーセキュリティリスクに応じた対応方針を検討する。
✓ 策定した対応方針を対外的な宣言として公表させる。
対策例
・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取ったセキュリティポリシーを策定する。その際、製造、販売、サービス等、事業が立脚している全ての基盤(設備、システム、情報等の資産、流通プロセス等)に影響を及ぼすと考えられるサイバーセキュリティリスクに応じた対応方針を検討する。
指示2 サイバーセキュリティリスク管理体制の構築
✓ サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構成させる。
✓ サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。
対策例
・役割遂行に求められる責任や専門性、人的資源の状況に応じて、組織内要員で対応すべきものと外部の専門サービスに委託すべきものとの切り分けを行う。
・取締役、監査役はサイバーセキュリティリスク管理体制が適切に構築、運用されているかを監査する。
✓ サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。
対策例
・役割遂行に求められる責任や専門性、人的資源の状況に応じて、組織内要員で対応すべきものと外部の専門サービスに委託すべきものとの切り分けを行う。
・取締役、監査役はサイバーセキュリティリスク管理体制が適切に構築、運用されているかを監査する。
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
✓ サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源(予算、人材等)を確保した上で、具体的な対策に取り組ませる。
✓ 全ての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。
対策例
・事業が立脚している全ての基盤の安全性の担保のために必要なサイバーセキュリティ対策を明確にし、それに要する費用を確保する。
・従業員向けやセキュリティ担当者向けなどの研修等のための予算を確保し、継続的に役割に応じたセキュリティ教育を実施する。
・セキュリティ対策業務に従事する人材のみならず、デジタル部門、事業部門、管理部門等のあらゆる業務に従事する人材に、「プラス・セキュリティ」知識・スキルの習得を促す。
✓ 全ての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。
対策例
・事業が立脚している全ての基盤の安全性の担保のために必要なサイバーセキュリティ対策を明確にし、それに要する費用を確保する。
・従業員向けやセキュリティ担当者向けなどの研修等のための予算を確保し、継続的に役割に応じたセキュリティ教育を実施する。
・セキュリティ対策業務に従事する人材のみならず、デジタル部門、事業部門、管理部門等のあらゆる業務に従事する人材に、「プラス・セキュリティ」知識・スキルの習得を促す。
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
✓ 事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃(過失や内部不正を含む)の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。
✓ サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダーへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。
対策例
・組織における情報のうち、経営戦略の観点から守るべき情報を特定し、それらがどこに保存され、どこで扱われているかを把握する。その際、自社の営業秘密を外部のクラウドサービスで管理したり、テレワーク等の新しい働き方を導入したりしていることの影響を適切に反映させる。
✓ サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダーへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。
対策例
・組織における情報のうち、経営戦略の観点から守るべき情報を特定し、それらがどこに保存され、どこで扱われているかを把握する。その際、自社の営業秘密を外部のクラウドサービスで管理したり、テレワーク等の新しい働き方を導入したりしていることの影響を適切に反映させる。
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
✓ サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させる。
✓ 構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。
対策例
・重要業務を行う端末、ネットワーク、システム又はサービス(クラウドサービスを含む)には、多層防御を実施する。
・従業員に対する教育を定期的に行い、適切な対応が行えるよう日頃から備える。
✓ 構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。
対策例
・重要業務を行う端末、ネットワーク、システム又はサービス(クラウドサービスを含む)には、多層防御を実施する。
・従業員に対する教育を定期的に行い、適切な対応が行えるよう日頃から備える。
指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
✓ リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、サイバーセキュリティリスクの特徴を踏まえたPDCAサイクルを運用させる。
✓ 経営者は対策の状況を定期的に報告させること等を通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。
✓ 株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。
対策例
・必要に応じて、ISO/IEC 27001規格に基づくISMSなど、国際標準となっているPDCAマネジメントシステムの認証を活用する。
✓ 経営者は対策の状況を定期的に報告させること等を通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。
✓ 株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。
対策例
・必要に応じて、ISO/IEC 27001規格に基づくISMSなど、国際標準となっているPDCAマネジメントシステムの認証を活用する。
指示7 インシデント発生時の緊急対応体制の整備
✓ 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制(CSIRT等)を整備させる。
✓ 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。
✓ インシデント発生時の対応について、適宜実践的な演習を実施させる。
対策例
・インシデント発生時の体制整備、ルール整備にあたって、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照しながら、社内理解を深める。
・インシデントの発生を想定した緊急対応に関する演習を役員に対して定期的に実施し、緊急時にどのような手順で初動対応を行うべきかについて、全ての関係者が体験を通じて理解する。
✓ 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。
✓ インシデント発生時の対応について、適宜実践的な演習を実施させる。
対策例
・インシデント発生時の体制整備、ルール整備にあたって、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照しながら、社内理解を深める。
・インシデントの発生を想定した緊急対応に関する演習を役員に対して定期的に実施し、緊急時にどのような手順で初動対応を行うべきかについて、全ての関係者が体験を通じて理解する。
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
✓ インシデントにより業務停止等に至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。
✓ 制御系も含めたBCPとの連携等、組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。
✓ 業務停止等からの復旧対応について、対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。
対策例
・設備投資計画を立案する際に、事業継続に影響をもたらす要因として、自然災害やパンデミック等にサイバーセキュリティリスクを加え、その対策を要求仕様等に反映させる。
・定期的な復旧演習の実施により、復旧対応に関わる関係者がその手順について、体験を通じて理解する。
✓ 制御系も含めたBCPとの連携等、組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。
✓ 業務停止等からの復旧対応について、対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。
対策例
・設備投資計画を立案する際に、事業継続に影響をもたらす要因として、自然災害やパンデミック等にサイバーセキュリティリスクを加え、その対策を要求仕様等に反映させる。
・定期的な復旧演習の実施により、復旧対応に関わる関係者がその手順について、体験を通じて理解する。
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
✓ サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるよう、国内外の拠点、ビジネスパートナーやシステム管理の運用委託先等を含めた対策状況の把握を行わせる。
✓ ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施等、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。
対策例
・系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先等がSECURITY ACTIONを実施していることを確認する。なお、ISMS等のセキュリティマネジメント認証を取得していることがより効果的である。
✓ ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施等、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。
対策例
・系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先等がSECURITY ACTIONを実施していることを確認する。なお、ISMS等のセキュリティマネジメント認証を取得していることがより効果的である。
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進
✓ 有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築及び被害の報告・公表への備えをさせる。
✓ 入手した情報を有効活用するための環境整備をさせる。
対策例
・株主やステークホルダーとの対話、広報による一般向け情報開示等の機会において、サイバーセキュリティインシデントに備えた日頃の取組等の情報開示に積極的に取り組む。
・中小企業の場合は、商工会議所、商工会等を通じて地元で情報共有を行うことのできる相手を確保する。
・「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参考に、インシデントに備え、サイバーセキュリティ専門組織との情報共有や被害に係る情報の公表を行うにあたっての観点について、あらかじめ理解しておく。
✓ 入手した情報を有効活用するための環境整備をさせる。
対策例
・株主やステークホルダーとの対話、広報による一般向け情報開示等の機会において、サイバーセキュリティインシデントに備えた日頃の取組等の情報開示に積極的に取り組む。
・中小企業の場合は、商工会議所、商工会等を通じて地元で情報共有を行うことのできる相手を確保する。
・「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参考に、インシデントに備え、サイバーセキュリティ専門組織との情報共有や被害に係る情報の公表を行うにあたっての観点について、あらかじめ理解しておく。
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」をもとに作成
詳細理解のため参考となる文献(参考文献)
11-5-2. サイバーセキュリティ経営ガイドラインの読み方
ここでは「経営者」、「情報セキュリティ対策の責任者(CISOなど)」それぞれの立場から、本ガイドラインの内容を実践する際の役割、認識するべきことについて記載します。
対象者
経営者
役割
・「3原則」の理解
・重要10項目について、情報セキュリティ対策の責任者(CISOなど)に指示を出す
・リーダーシップの発揮
・重要10項目について、情報セキュリティ対策の責任者(CISOなど)に指示を出す
・リーダーシップの発揮
認識すべきこと
ERM(エンタープライズリスクマネジメント)にサイバー攻撃のリスクを含めること
現在、企業活動の多くはITに依存しています。そのため、内部統制システムの構築や、コーポレートガバナンス・コードに基づく開示と対話などにおいて、サイバー攻撃のリスクを考慮する必要があります。
サプライチェーン上のリスクを認識すること 現在、サプライチェーンの多様化が進み、サイバー攻撃の起点は広く拡散しています。したがって、サプライチェーン全体を考慮したリスクマネジメントが必要です。
サイバーセキュリティ対策は担当者に丸投げしてはいけない 経営者は、インシデント発生時に法的・社会的責任を負い、事業停止や新たな脅威に対処するための経営判断を迫られることがあります。そのため、経営者は、サイバーセキュリティ対策を担当者に丸投げせずに、自ら主体的に取り組む必要があります。
サイバーセキュリティ対策は投資と位置づけること サイバーセキュリティ対策への投資では、直接的な収益を算出することは困難です。しかし、サイバーセキュリティ対策への投資は、企業活動におけるコストや損失を減らすために必要不可欠な投資であるとともに、将来の事業活動・成長に必須な投資でもあります。
サプライチェーン上のリスクを認識すること 現在、サプライチェーンの多様化が進み、サイバー攻撃の起点は広く拡散しています。したがって、サプライチェーン全体を考慮したリスクマネジメントが必要です。
サイバーセキュリティ対策は担当者に丸投げしてはいけない 経営者は、インシデント発生時に法的・社会的責任を負い、事業停止や新たな脅威に対処するための経営判断を迫られることがあります。そのため、経営者は、サイバーセキュリティ対策を担当者に丸投げせずに、自ら主体的に取り組む必要があります。
サイバーセキュリティ対策は投資と位置づけること サイバーセキュリティ対策への投資では、直接的な収益を算出することは困難です。しかし、サイバーセキュリティ対策への投資は、企業活動におけるコストや損失を減らすために必要不可欠な投資であるとともに、将来の事業活動・成長に必須な投資でもあります。
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」をもとに作成
One Point
対象者
情報セキュリティ対策を実施する上で責任者となる担当幹部
(CISOなど)
(CISOなど)
役割
・重要10項目を理解すること
・経営者に対して適宜状況報告を行い、経営者が適切な判断を行うために必要な情報を提供すること
・経営者に対して適宜状況報告を行い、経営者が適切な判断を行うために必要な情報を提供すること
認識すべきこと
経営者から指示される以下の事項に関して、より具体的な取組を検討し、セキュリティ担当者に対して指示する必要があること
・サイバーセキュリティリスクの管理体制構築
・サイバーセキュリティリスクの特定と対策の実装
・インシデント発生に備えた体制を構築
・サプライチェーンセキュリティ対策の推進
・ステークホルダーを含めた関係者とのコミュニケーションの推進
・サイバーセキュリティリスクの管理体制構築
・サイバーセキュリティリスクの特定と対策の実装
・インシデント発生に備えた体制を構築
・サプライチェーンセキュリティ対策の推進
・ステークホルダーを含めた関係者とのコミュニケーションの推進
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」をもとに作成
11-5-3. サイバーセキュリティ経営ガイドラインの実践の流れ
サイバーセキュリティ経営ガイドラインの活用手順
図42. サイバーセキュリティ経営ガイドラインの全体の流れ
(出典) 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」をもとに作成
PLAN
はじめに、サイバーセキュリティ対応方針・方策を策定します。
・経営者は、3原則を認識した上でサイバーセキュリティ対応方針を策定します。
・セキュリティ対策の責任者(CISOなど)は、経営者の指示に基づき、リスクを許容範囲内に抑制するための方策を検討し、必要となる資源(予算や人材など)を確保します。
・経営者は、3原則を認識した上でサイバーセキュリティ対応方針を策定します。
・セキュリティ対策の責任者(CISOなど)は、経営者の指示に基づき、リスクを許容範囲内に抑制するための方策を検討し、必要となる資源(予算や人材など)を確保します。
DO
セキュリティ担当者(CSIRTなど)は、セキュリティ対策の責任者(CISOなど)の指示に基づき、実際にセキュリティ対策を行っていきます。具体的には以下の作業を行います。
・リスクの把握や対応計画の策定
・サイバー攻撃の防御や検知
・分析などの保護対策の実施
・緊急時の対応体制を整備、事業継続、復旧体制の整備
・リスクの把握や対応計画の策定
・サイバー攻撃の防御や検知
・分析などの保護対策の実施
・緊急時の対応体制を整備、事業継続、復旧体制の整備
CHECK
実施しているセキュリティ対策がリスクに対して有効であるか評価・分析をします。
・セキュリティ担当者(CSIRTなど)は、サイバーセキュリティ経営ガイドライン付録の「サイバーセキュリティ経営チェックシート」や「サイバーセキュリティ経営可視化ツール」を活用し、経営者が指示した事項の実践状況をチェックします。
・セキュリティ担当者(CSIRTなど)は、サイバーセキュリティ経営ガイドライン付録の「サイバーセキュリティ経営チェックシート」や「サイバーセキュリティ経営可視化ツール」を活用し、経営者が指示した事項の実践状況をチェックします。
ACTION
セキュリティ担当者(CSIRTなど)は、経営者に指示された事項の実践状況について、CISOを通じて経営者に報告し、経営者は報告をもとに改善策を検討します。
・新たなサイバーセキュリティリスクの発見などにより、追加の対応が必要な場合には、対処方針を修正します。
・新たなサイバーセキュリティリスクの発見などにより、追加の対応が必要な場合には、対処方針を修正します。
