オーストラリア ガバナンス協会 サイバーリスク対策プレイブック
こんにちは、丸山満彦です。
オーストラリアガバナンス協会 [wikipedia] によるサイバーリスク対応のためのガイドといったところでしょうか?
この団体は1909年に法人化された団体ですね。。。英国の勅許ガバナンス協会 (Chartered Governance Institute) [wikipedia]
経営陣のみならず、取締役がサイバーリスクマネジメント戦略を理解しておくことが重要ということで、リスクマネジメントの一環として取締役会の関与が重要ということになるのだろうと思います。
サイバーリスクが経営上のリスクのうちの大きな部分を占めていると認識されている以上、取締役会による関与というのは避けられないし、取締役会が関与しないという選択肢はありえないと思いますね...
● Govenance Institute of Australia
・2024.08.18 An Essential Cyber Risk Playbook for Modern Organisations
An Essential Cyber Risk Playbook for Modern Organisations | 現代の組織のための不可欠なサイバーリスク対策プレイブック |
Safeguarding digital assets and maintaining robust cyber security protocols is at the heart of Governance Institute’s latest Cyber Risk Management Guide. | デジタル資産の保護と強固なサイバーセキュリティプロトコルの維持は、ガバナンス研究所の最新サイバーリスクマネジメントガイドの中心的なテーマである。 |
Safeguarding digital assets and maintaining robust cyber security protocols is at the heart of Governance Institute’s latest Cyber Risk Management Guide. | デジタル資産の保護と強固なサイバーセキュリティプロトコルの維持は、ガバナンス研究所の最新サイバーリスクマネジメントガイドの中心的なテーマである。 |
Unveiled this month, the guide highlights the importance of identifying critical assets and establishing a comprehensive data governance and protection process. It outlines how boards can determine and implement their cyber risk appetite through a well-structured cyber security framework. | 今月発表されたこのガイドでは、重要な資産の識別と包括的なデータガバナンスおよび防御プロセスの確立の重要性が強調されている。 また、体系的に構築されたサイバーセキュリティの枠組みを通じて、取締役会がサイバーリスク許容度を決定し、それを実行する方法についても概説されている。 |
Megan Motto FGIA FCG, CEO of Governance Institute has stressed the importance of directors to be across cyber risk management strategies. | ガバナンス研究所のCEOであるミーガン・モットー(Megan Motto)FGIA FCGは、取締役がサイバーリスクマネジメント戦略を理解することの重要性を強調している。 |
“In today’s digital landscape, cyber risk management is not just an IT issue but a critical governance concern.” | 「今日のデジタル環境において、サイバーリスクマネジメントは単なるITの問題ではなく、ガバナンス上の重要な懸念事項です。 |
“Our guide provides directors and executive staff with the necessary tools and frameworks to navigate the complexities of cyber security and protect their most valuable assets,” she said. | 「我々のガイドは、取締役や経営陣に、サイバーセキュリティの複雑な状況を乗り切り、最も重要な資産を防御するための必要なツールとフレームワークを提供します」と彼女は述べた。 |
The guide explores information security and makes clear the need for accountability and responsibility within organisations. It explores the importance of implementing effective controls to prevent, detect and respond to information security incidents. It also it underscores the necessity for organisations to possess the requisite skills and capabilities at all levels, including the board, to interpret and understand information security matters and make informed decisions. | このガイドでは、情報セキュリティについて検討し、組織内における説明責任と責任の必要性を明確にしている。また、情報セキュリティインシデントの予防、検知、対応に効果的な管理策を実施することの重要性を検討している。さらに、情報セキュリティ問題を解釈し理解し、十分な情報を得た上で意思決定を行うために、取締役会を含むあらゆるレベルで必要なスキルと能力を組織が備える必要性を強調している。 |
Other areas explored in our latest guide include: | 最新ガイドでは、以下の項目についても取り上げている。 |
・The critical aspect of crisis management, detailing how senior executives and board members should interact with incident management teams, technical teams, corporate teams, customer management and media relations during a cyber event. | ・危機管理の重要な側面として、サイバーイベント発生時に、経営幹部や取締役がインシデント管理チーム、技術チーム、企業チーム、顧客管理、メディア対応とどのように連携すべきかを詳細に説明している。 |
・A framework for making pre-emptive decisions, such as whether to pay a ransomware demand and the legal implications of such actions. | ・ランサムウェアの要求に応じるかどうか、またそのような行動が法律に抵触する可能性があるかどうかなど、先を見越した意思決定を行うための枠組み。 |
・Notification requirements for cyber incidents, including regulatory, contractual, and reputational obligations. | ・規制、契約、評判に関する義務など、サイバーインシデントに関する通知要件。 |
・Advises on the appropriate timing for notifying insurers and the specific policies under which claims should be made. | ・保険会社への通知の適切なタイミングや、保険請求を行うべき特定の保険契約に関するアドバイス。 |
The release of this guide comes at an important time, as organisations face an ever-evolving threat landscape. By adopting the principles and practices outlined in Governance Institute’s Cyber Risk Management Guide, organisations can strengthen their resilience against cyber threats and ensure they are well-prepared to respond to incidents effectively. | このガイドの発表は、進化し続ける脅威の状況に企業が直面しているという重要なタイミングである。ガバナンス・インスティチュートのサイバーリスクマネジメントガイドに概説されている原則と実践を採用することで、企業はサイバー脅威に対するレジリエンシーを強化し、インシデントに効果的に対応するための十分な準備ができていることを確実にすることができる。 |
・Effective Cyber Risk Management: A best practice governance guide
Effective Cyber Risk Management: A best practice governance guide | 効果的なサイバーリスクマネジメント:ガバナンスのベストプラクティスガイド |
Navigate the complexities of cyber security with this helpful resource. | この役立つリソースでサイバーセキュリティの複雑性をナビゲートする。 |
In the face of an ever-changing cyber threat landscape, Governance Institute of Australia has unveiled a pivotal resource for leaders titled, ‘Effective Cyber Risk Management: A best practice governance guide for digitally secure and resilient organisations.’ The guide is a comprehensive publication designed to fortify your organisation’s digital defences and guide you through the complexities of cyber security. | オーストラリアのガバナンス研究所は、刻々と変化するサイバー脅威の状況を踏まえ、リーダーのための重要なリソースとして『効果的なサイバーリスクマネジメント:デジタルセキュリティとレジリエンスを備えた組織のためのガバナンスのベストプラクティスガイド』を発表した。このガイドは、組織のデジタル防御を強化し、サイバーセキュリティの複雑性をナビゲートするための包括的な出版物である。 |
As an important piece of thought leadership, the guide empowers directors and executive staff with the tools and knowledge to safeguard your organisation’s most valuable assets. Megan Motto FGIA FCG, CEO of Governance Institute, emphasises, “Cyber risk management transcends IT; it’s a fundamental governance imperative.” | 重要な思考リーダーシップの一環として、このガイドは、貴社の最も重要な資産を守るためのツールと知識を役員や経営陣に提供する。ガバナンス研究所のCEOであるメーガン・モットーFGIA FCGは、「サイバーリスクマネジメントはITの枠を超えたものであり、ガバナンスの根幹をなす必須事項である」と強調する。 |
A framework for operational excellence by aligning your cyber risk appetite with actionable strategies. It underscores the criticality of: | サイバーリスク許容度と実行可能な戦略を整合させることで、業務の卓越性を実現するための枠組み。 |
・Identifying and protecting key assets | ・重要な資産の識別と防御 |
・Implementing robust data governance | ・強固なデータガバナンスの実施 |
・Ensuring accountability at all organisational levels | ・すべての組織レベルにおける説明責任の確保 |
Navigate crisis situations with confidence as our guide illuminates: | 当社のガイドでは、以下の点について説明しており、危機的状況にも自信を持って対応できる。 |
・The dynamics of crisis management teams | ・危機管理チームのダイナミクス |
・Decision-making frameworks for ransomware demands | ・ランサムウェアの要求に対する意思決定の枠組み |
・Legal and notification requirements for cyber incidents | ・サイバーインシデントに関する法的および通知要件 |
Stay ahead of threats and elevate your organisation’s cyber resilience and readiness. Embrace the principles and practices that will shield you from cyber threats and position you to respond decisively to any incident. | 脅威に先手を打ち、組織のサイバーレジリエンシーと対応力を高める。サイバー脅威から身を守り、あらゆるインシデントに迅速に対応できる体制を整えるための原則と実践を取り入れる。 |
・[PDF]
目次...
1. About us | 1. はじめに |
・ Acknowledgements | ・ 謝辞 |
2. Foreword | 2. まえがき |
3. Introduction | 3. 序文 |
・ The cyber risk landscape | ・ サイバーリスクの現状 |
・ Why this guide? | ・ なぜこのガイドなのか? |
・ Navigating this guide | ・ このガイドの使い方 |
4. What is Cyber Risk? | 4. サイバーリスクとは何か? |
・ Is ‘cyber security’ the same as ‘information security’? | ・ 「サイバーセキュリティ」と「情報セキュリティ」は同じものなのか? |
・ Examples of cyber threats | ・ サイバー脅威の例 |
5. Key elements of governance | 5. ガバナンスの主要要素 |
・ The role of the board and board committees | ・ 取締役会および取締役会委員会の役割 |
・ The role of the board | ・ 取締役会の役割 |
・ Board committees | ・ 取締役会委員会 |
・ Accountability and responsibility | ・説明責任と責任 |
・ Reporting | ・報告 |
・ Assurance | ・保証 |
6. Elements of a Cyber Risk Management Framework | 6. サイバーリスク管理フレームワークの要素 |
・ Start with a cyber risk strategy | ・サイバーリスク戦略から始める |
・ Monitor | ・モニタリング |
・ Adapt | ・適応 |
・ Evaluate | ・評価 |
・ Integration with Risk Framework | ・リスクフレームワークとの統合 |
・ Adopting a Standard | ・標準の採用 |
・ Role of Culture | ・企業文化の役割 |
・ Capability and resourcing | ・能力とリソース |
・ Question to ask about your framework | ・自社のフレームワークに関する質問 |
7. Risk Management Process | 7. リスクマネジメントプロセス |
・ Risk identification, assessment and evaluation | ・リスクの識別、アセスメント、および評価 |
・ Risk treatment and controls | ・リスクの処理と制御 |
・ Incident, crisis management and business continuity planning | ・ インシデント、危機管理、事業継続計画 |
・ Planning | ・ 計画 |
・ Training, tests, and exercises | ・ トレーニング、テスト、演習 |
・ Post-incident review and lessons learned | ・ インシデント後のレビューと教訓 |
・ Emerging regulation and government assistance | ・ 新たな規制と政府支援 |
8. The Regulatory Landscape | 8. 規制の概観 |
・ Emerging regulatory areas | ・ 新たな規制分野 |
9. Standards, Frameworks and Certifications | 9. 標準、フレームワーク、認証 |
・ Cyber Risk Management and Cyber Security | ・ サイバーリスクマネジメントとサイバーセキュリティ |
・ International Standards (IT) | ・ 国際標準(IT |
・ International Standard (Risk) | ・ 国際標準(リスク |
・ International Standard (Business Continuity) | ・ 国際標準(事業継続 |
・ Australian Commonwealth Government Entities | ・ オーストラリア連邦政府事業体 |
・ APRA-regulated entities: | ・ APRA(オーストラリア健全性規制庁)規制事業体: |
・ Payment card processing: | ・ ペイメントカード処理: |
10. Resources | 10. リソース |
・ Reporting to government | ・ 政府への報告 |
・ Privacy | ・ プライバシー |
・ Cyber Resilience and Security Guidance | ・ サイバーレジリエンスおよびセキュリティに関するガイダンス |
・ Charities | ・ 慈善団体 |
・ Scams | ・ 詐欺 |
・ International | ・ 国際 |
11. International Regulations | 11. 国際規制 |
12. Acronyms and Glossaries | 12. 略語と用語集 |
・ Glossaries of cybersecurity terms: | ・ サイバーセキュリティ用語集: |
13. References | 13. 参考文献 |
・ Reports | ・ レポート |
・ Guides | ・ ガイド |
・ Articles | ・ 記事 |
・ Other | ・ その他 |
これは参考になるかもですね...
取締役会のチェックリスク
Are processes in place to monitor the evolving regulatory landscape and is the Board sufficiently informed about current and prospective laws and standards ahead of meetings and when decisions are being made? | 進化する規制の状況を監視するプロセスは整備されているか。また、取締役会は、会議前や意思決定時に、現在および将来の法律や標準について十分な情報を得ているか。 |
Is the organisation’s risk framework regularly reviewed and does the board have processes to ensure management obtains independent advice and assurance where required? | 組織のリスクフレームワークは定期的に見直され、取締役会は、マネジメントが必要に応じて独立した助言や保証を得られるようなプロセスを設けているか。 |
How does the Board ensure a whole-of-organisation risk culture, including a security-aware culture? | 取締役会は、セキュリティを意識した文化を含む組織全体のリスク文化をどのように確保しているか。 |
Ensuring the appropriate and balanced level of investment in cyber security relative to the cyber risks facing the organisation. | 組織が直面するサイバーリスクに対して、適切かつバランスの取れたサイバーセキュリティへの投資水準を確保する。 |
Deciding on the appropriate cyber governance structure to meet business goals. | ビジネス目標を達成するために適切なサイバーガバナンス構造を決定する。 |
Ensuring the board receives appropriate education on cyber security and risk management. | 取締役会がサイバーセキュリティとリスクマネジメントに関する適切な教育を受けるようにする。 |
Overseeing the overall governance framework, including risk management and cyber security. | リスクマネジメントやサイバーセキュリティを含むガバナンスの枠組み全体を監督する。 |
Ensuring appropriate reporting to the board, or through its committees, on cyber strategies, risks, projects, and activities, | サイバー戦略、リスク、プロジェクト、活動について、取締役会または委員会を通じて適切な報告を行う、 |
Requiring management of stakeholders, including shareholders, customers, regulators, and the community. | 株主、顧客、規制当局、地域社会を含む利害関係者の管理を義務付ける。 |
Ensuring that contracting risk is managed in accordance with the organisation’s delegations framework. | 契約リスクが組織の権限委譲の枠組みに従って確実にマネジメントされるようにする。 |
Understanding and overseeing data governance. | データガバナンスを理解し、監督する。 |
オーストラリア証券投資委員会 (Australian Securities and Investments Commission; ASIC) の取締役会に対する質問
Risk management framework | リスクマネジメントの枠組み |
Are cyber risks an integral part of the organisation’s risk management framework? | サイバーリスクは組織のリスクマネジメントフレームワークに不可欠な要素となっているか? |
How often is the cyber resilience program reviewed at the board level? | 取締役会レベルでのサイバーレジリエンスプログラムのレビューの頻度はどの程度か。 |
What risk is posed by cyber threats to the organisation’s business? | サイバー脅威が組織のビジネスにもたらすリスクは何か? |
Does the board need further expertise to understand the risk? | 取締役会はリスクを理解するためにさらなる専門知識が必要か? |
Monitoring cyber risk | サイバー・リスクの監視 |
How can cyber risk be monitored and what escalation triggers should be adopted? | サイバー・リスクをどのように監視し、どのようなエスカレーション・トリガーを採用すべきか。 |
Controls | コントロール |
What is the people strategy around cyber security? | サイバーセキュリティをめぐる人材戦略とは何か? |
What is in place to protect critical information assets? | 重要な情報資産を保護するために、どのようなことが行われているか? |
Response | 対応 |
What needs to occur in the event of a breach? | 違反が発生した場合、何が必要なのか? |
もとはオーストラリア証券投資委員会のこちらです、、、
Key questions for an organisation’s board of directors, ASIC.
サイバーリスク報告のために考慮すべき質問
How often should the board and executive team receive reporting on cyber risk? | 取締役会と経営陣は、どれくらいの頻度でサイバーリスクに関する報告を受けるべきか。 |
How often should the board discuss cyber risk with management? | 取締役会はどれくらいの頻度でサイバーリスクについてマネジメントと話し合うべきか? |
How are cyber risk appetite or tolerance levels defined and measured to inform reporting levels? | サイバーリスクの選好度や許容度はどのように定義され、報告レベルに反映されるのか。 |
What are the most useful cybersecurity metrics to report to boards and executive teams in your organisation? | 組織の取締役会や経営陣に報告する最も有用なサイバーセキュリティ指標は何か。 |
What other reporting or information do they need to put these metrics in context? (For example, an overview of technology architecture). | これらのメトリクスをコンテキストに当てはめるために、他にどのようなレポートや情報が必要なのか。(例えば、技術アーキテクチャの概要など)。 |
How can we ensure the information is both accurate and timely? | 情報が正確でタイムリーであることをどうすれば保証できるのか? |
How much information is too much or not enough? | 情報量は多すぎるのか、それとも足りないのか。 |
What constitutes an incident disclosable/reportable externally? Have we checked the current legislative requirements relevant to our industry and organisation? | 何をもってインシデントを外部に開示/報告できるものとするか?私たちの業界や組織に関連する現行の法律要件を確認したか? |
How does the board determine materiality in relation to cyber security risks to inform prioritisation and compliance with disclosure requirements? | 取締役会は、サイバーセキュリティリスクに関連する重要性をどのように判断し、優先順位付けと開示要件の遵守に役立てているか。 |
« 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ) | Main | 米国 CISA 接続されたコミュニティ・ガイダンス:相互接続されたシステムを保護するためのゼロ・トラスト (2024.08.29) »
Comments