指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示内容
リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、サイバーセキュリティリスクの特徴を踏まえたPDCAサイクルを運用させる。
経営者は対策の状況を定期的に報告させること等を通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。
株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。
実践に向けたファーストステップ
サイバーセキュリティ対策におけるPDCAサイクルの実施に向けては、新たな脅威の発生を含むサイバー攻撃のトレンドの変化や、セキュリティ製品等の対策の進化に対応し続けることが可能な仕組みを構築することが望まれる。
実践する上でのファーストステップとしては、下記2点が考えられる。
- 自社のセキュリティ対策の状況や水準を評価し、改善に活かす仕組みを構築する
- 評価や改善の取組が形骸化しないよう、演習や訓練を通じて従業員の意識レベルを向上する
想定される企業の状況
指示6の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに対応した企業の事例をプラクティスとして紹介する。
- PDCAサイクルのうち、特にC(Check)やA(Act)をどのように実践すればよいかわからない
- セキュリティ対策状況の評価が形骸化している懸念がある
- 自社のセキュリティ対策状況を適切に可視化できていない
- 社外の投資家などに対して、自社で適切なセキュリティ対策をしていることの説明ができていない