セキリュティ関連の資格勉強をしていると、サイバーセキュリティ経営ガイドライン v2.0
の2.経営者が認識すべき3原則
が問題の論点になることがあります。
で、経済産業省が出している原文を読んでみたのですが、これがとても読みづらい...。
なので、整理も兼ねて日本語に書き直してみました。
(以下の文章で、"セキュリティ"というのは、全部サイバーセキュリティの事を意味します)
経営者が認識すべき3原則
経営者は、以下の3原則を実施することが大事!
- (1)セキュリティリスクがあることを認識しとく。リーダーシップを持って対策する
- (2)自社だけじゃなくって、パートナーや委託先も含めて全体的なするセキュリティ対策が大事
- (3)緊急時だけでなく平時も、セキュリティリスクや対策の情報開示など、関係者とコミュニケーションしておく
それぞれ、以下でもう少し詳しく説明する。
(1)セキュリティリスクがあることを認識しとく。リーダーシップを持って対策する
なんで?
- ビジネスを大きくしたり生産性アップのため、ITサービスを提供したり、ITを使う場面は増えてる
-
ITを使う上で、サイバー攻撃が避けられないリスクとなっている
- だから、セキュリティ投資は必須で、経営者として絶対やらなきゃいけない
-
攻撃された時に、情報漏えいや事業継続がヤバくなったとき時の対策が大事
- 企業として迅速かつ適切な対応ができるかで会社の運命が分かれる
だから...
- セキュリティリスクを多様な経営リスクの中での一つとして位置づける
- セキュリティ対策の責任者となる担当幹部(CISOとか)を任命しとく
- 経営者自らがリーダーシップを発揮して適切な経営資源の配分を行う
(2)自社だけじゃなくって、パートナーや委託先も含めて全体的なするセキュリティ対策が大事
なんで?
- 自分が大丈夫でも、ビジネスパートナーやシステム管理先とかが攻撃に対してされたら自社の情報流出するかもしれない
だから...
- ビジネスパートナーやシステム管理等の委託先を巻き込んで、セキュリティ対策を徹底!!
(3)緊急時だけでなく平時も、セキュリティリスクや対策の情報開示など、関係者とコミュニケーションしておく
なんで?
- 関係者と、平時から適切なセキュリティリスクのコミュニケーションをしておく。
- ちゃんとコミュニケーションしてたら,万一、攻撃されて被害があっても関係者の不信感の高まりは抑えられるよね。
だから...
- コミュニケーションを積極的に行うことが必要。
- 例えば、普段からセキュリティ対策をちゃんと行っていることをオープンにしとくとか
こちらもおススメ