経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0（案）に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、サイバーセキュリティ経営ガイドライン Ver3.0（案）に対する意見募集をしていますね。。。

突然やなぁ...

Vwe1.1から作成に関わっています。。。最近、これをいろいろなところで参照することが増えてきているので、みなさん、ちゃんと意見をだしがほうがよいと思います。。。

意見は、個人名でもよいと思いますし。。。

TwitterやFacebookに書いている人であれば、そのままの内容でよいと思うので。。。

でないと、これを「正」として、いろいろと政策が進められたり、依頼が行われたりするかもしれませんし。。。

 

● e-Gov

・2022.10.26 サイバーセキュリティ経営ガイドライン Ver3.0（案）に対する意見募集

 

・[PDF] サイバーセキュリティ経営ガイドライン Ver3.0(案) [Downloaded]

 

・[PDF] 「サイバーセキュリティ経営ガイドライン Ver3.0(案)」の改訂概要 [Downloaded]

---

...

Ver2.0からの主な変更点

 

(1) 「サイバーセキュリティ経営ガイドライン・概要」の内容を見直し、企業リスクマネジメントの一部としてサイバーセキュリティ対策の必要性やサイバーセキュリティ対策における経営者の責務などを記載しました。

(2) 経営者が認識すべき３原則について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

‒ 対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載

‒ サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載

- 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載 

(3) CISO 等に対して指示すべき１０の重要項目について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

‒ 指示３について、セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載

‒ 指示８について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載

‒ 指示９について、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載

‒ 指示１０について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

‒ その他、全体的に対策を怠った場合のシナリオや対策例の追記等

（４） その他、全体的な表現等の見直しを行いました。

...

---

 

しつこいですが、意見は積極的にだしたほうがよいと思います。。。

委員として、自信がないものを出したという意味ではないでが、、、(^^)