解説3 経営者が認識すべき3原則と指示すべき重要10項目

経営ガイドラインでは、大企業及び中小企業(小規模事業者を除く)の経営者を対象として、サイバー攻撃から企業を守る観点で経営者が認識すべき「3原則」と、CISO等に対し指示すべきサイバーセキュリティ経営の「重要10項目」がまとめられている。

1. 注釈
   経済産業省：サイバーセキュリティ経営ガイドラインと支援ツール

経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要である。

1. 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
2. サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
3. 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目

経営者は、以下の重要10項目について、CISO 等への指示を通じて組織に適した形で確実に実施させる必要がある。

1. 指示1
   サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. 指示2
   サイバーセキュリティリスク管理体制の構築
3. 指示3
   サイバーセキュリティ対策のための資源（予算、人材等）確保
4. 指示4
   サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. 指示5
   サイバーセキュリティリスクに効果的に対応する仕組みの構築
6. 指示6
   PDCA サイクルによるサイバーセキュリティ対策の継続的改善
7. 指示7
   インシデント発生時の緊急対応体制の整備
8. 指示8
   インシデントによる被害に備えた事業継続・復旧体制の整備
9. 指示9
   ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
10. 指示10
    サイバーセキュリティに関する情報の収集、共有及び開示の促進