指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示内容
サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、組織全体としての対応方針(セキュリティポリシー)を策定させる。
策定した対応方針を対外的な宣言として公表させる。
実践に向けたファーストステップ
経営リスクを認識して、組織全体としての対応方針を策定・宣言する主体は経営者である。そのため、実践する上でのファーストステップとして下記2点が考えられる。
- 経営層向けにサイバーセキュリティリスクに関する報告を増やす
- 既存のセキュリティポリシーの内容を確認し、サイバーセキュリティの観点から必要な改訂をする
想定される企業の状況
指示1の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに対応した企業の事例をプラクティスとして紹介する。
- サイバーセキュリティリスクが自社にどのような影響を及ぼすか明らかになっていないため、経営者がサイバーセキュリティリスクを十分には認識していない
- 情報(顧客情報や営業秘密)保護の観点からセキュリティポリシーを定めている が、サイバーセキュリティリスクは考慮されていない
- 海外拠点における情報保護に関するコンプライアンス対応が適切に実施されているかどうかを把握できていない