ゾーホージャパン、サイバーセキュリティ経営ガイドラインの対応状況を可視化する評価チェックシートの無償提供を開始
- 2019/09/06 10:30
- SecurityInsight
ゾーホージャパンは9月4日、政府系や金融、大手企業向けのセキュリティコンサルティングを行なうニュートン・コンサルティングの監修を受け、経済産業省の「サイバーセキュリティ経営ガイドライン」により自社を評価する際に活用できるツール「サイバーセキュリティ評価チェックシート」の無償提供を開始することを発表した。
■「サイバーセキュリティ評価チェックシート」の特徴
・数値化し客観的な評価が下せる
サイバーセキュリティ経営ガイドラインの重要10項目の質問は曖昧で、実使用において必要な情報が不足している。「サイバーセキュリティ評価チェックシート」では、実際の評価担当が数字で評価できるだけの材料となる「実施の目安」および「実施の確認事項」を示している。
・サイバーセキュリティ評価チェックシートの「実施の確認事項」で示される
「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する。」という問いのように“記載されているかどうか”という質問に対してはYesまたはNoでの回答が容易。
・他の主要なガイドラインも加味
サイバーセキュリティ評価チェックシートは、サイバーセキュリティ経営ガイドラインを中心と位置づけ、ニュートン・コンサルティングのこれまでのセキュリティコンサルティングにおける知見や次のような主要なガイドラインの内容も取り込んだチェックリストとなっている。
・JISQ15001:2017付属書A
・重要インフラのサイバーセキュリティを改善するためのフレームワークVer1.1
・NIST SP 800-171 Revision1
・CIS Controls version7
ISO27001:2013付属書A
・ISO27017:2015付属書A
・中小企業の情報セキュリティ対策ガイドライン第3版
・PCI-DSSバージョン3.2.1