指示2 サイバーセキュリティリスク管理体制の構築
指示内容
サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構築させる。
サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。
実践に向けたファーストステップ
サイバーセキュリティリスクが経営リスクであるとの認識の下、組織としてサイバーセキュリティリスクを把握し、対策を推進するための体制を構築することが望まれる。
実践する上でのファーストステップとしては、下記2点が考えられる。
- 組織内のリスク管理体制の役割、責任、範囲、人数規模など既存の状況を確認する
- サイバーセキュリティリスクの管理に足りてない役割を特定し、役割および責任の範囲を取り決める
想定される企業の状況
指示2の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに対応した企業の事例をプラクティスとして紹介する。
- サイバーセキュリティ対策を計画・実施する情報システム部門の人材も不足しており、専任のセキュリティ部門を作ることができない