はい、情シス課長です。
経産省のサイバーセキュリティ経営ガイドラインにプラクティス集があるのを知っていますか?
正式名称は、「サイバーセキュリティ経営ガイドラインVer20実践のためのプラクティス集」です。
このプラクティス集、なかなか良くできており、お役所にしては、サービス精神を感じることができる内容となっています。
主な内容は以下の2点です。
・サイバーセキュリティ経営ガイドライン実践のプラクティス
・セキュリティ担当者の悩みと取組のプラクティス
サイバーセキュリティ経営ガイドライン実践のプラクティス
この章では、サイバーセキュリティ経営ガイドラインの指示1~10のそれぞれにつてい、他社ではどのように対応しているのかを事例として紹介しています。
例えば、指示2は「サイバーセキュリティリスク管理体制の構築」という項目なのですが、これを実施するために、ある企業のIT統括部部長が以下の3ステップを実施した。
1.グループ子会社含め、組織のサイバーセキュリティに関係する部門・担当者を選定する。
2.委員会の役割や消臭した部門・担当者の責任範囲を合意する。
3.委員会の運営を通じてサイバーセキュリティ管理、サイバーセキュリティ対策実施を推進する。
そして、この3ステップに則り、サイバーセキュリティ委員会を立ち上げ、公開資料を参考に自社で具備すべき役割を定義した。
といった感じです。
サイバーセキュリティ経営ガイドラインの指示1~10は、実施すべきと認識していても、なかなか全部には手がついていない企業もおおいでしょう。
そのような場合には、一読の価値ありです。
資料は、無料でダウンロード可能ですが、ダウンロード前に簡単なアンケートに回答する必要があります。
https://www.ipa.go.jp/security/fy30/reports/ciso/ba3d3e3a0e3a291610cb319e27b15de4.html
セキュリティ担当者の悩みと取組のプラクティス
この章は、サイバーセキュリティ対策をこれから実施するセキュリティ担当者が対策を推進する上での悩みを解決するために取り組んだ才の実践手順、内容、取り組む際の考え方、得られた知見が示されています。
例えば、「海外拠点のセキュリティ意識が低い」といった悩みをセキュリティ担当者が持っている場合の取り組みとしては、「対面のコミュニケーションを通じ、セキュリティ意識を向上させる」
もっと具体的には、
1.解決に向けたアプローチ
(1)セキュリティ連絡会を開催
・各拠点の責任者を招集して実施
・自拠点のグローバルポリシーの遵守状況を責任者より発表
・取組状況の良い拠点を表彰
(2)日本での研修受講
・取組状況の悪い拠点のセキュリティ担当者を日本に召集
・合同で、セキュリティやITに関する研修を受講させた。
といった対応策が具体的に記載されています。
自社で既に進んでいる対策の項目は、見る必要がありませんが、「これは少し難航しているな」という項目がありましたら、参考にしてみるのもいいかと思います。
コメント