SecurityInsight | セキュリティインサイト

経済産業省、「サイバーセキュリティ経営ガイドライン」を改訂

経済産業省は11月16日、「サイバーセキュリティ経営ガイドライン」を改訂したことを発表した。これは、同省が情報処理推進機構(IPA)と協力し、サイバーセキュリティ経営ガイドラインのよりいっそうの普及を図るべく、改訂したものとなっている。

■改訂のポイント
有識者やパブリックコメントにおける意見等を踏まえ、主に以下の内容について改訂を行なった。

・経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施。
・「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制について記載。
・「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」について記載。
・「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目を整理。
・付録Aに、米国国立標準技術研究所(NIST)発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行ない、チェック項目についても一部追加・修正。
・付録Bに、重要10項目を踏まえたサイバーセキュリティ対策を行なう際に参考となる各種文献集をまとめた。
・付録Cに、インシデントが発生したときに組織が整理しておくべき事項を参考情報として新規追加。
 

関連リンク

プレスリリース