英国 NCSC 取締役会のためのサイバーガバナンス(サイバーガバナンス実践規範)(2025.04.08)
こんにちは、丸山満彦です。
英国のNCSCが取締役会のためのサイバーガバナンスのウェブページを作成し、サイバーガバナンス実践規範を公表していますね...
これは、2024.01.27 に意見募集されていたものが確定したものです。
2023.03.30に公表されたToolkitも改訂されましたね...
先を越されてしまいましたね...
日本は経営ガイドラインまでは作っているのですが、取締役会のためのコードまでは作れていません...
むかーし、情報セキュリティガバナンスについての研究会というのを経済産業省で大木先生が座長で開催したことがあり、私もメンバーとして「情報セキュリティガバナンス導入ガイダンス」を作成したことがあるのですが、それは会社のガバナンスの中の情報セキュリティではなく、情報セキュリティをどのようにガバナンスするか?という話で、CISOの話でしたね...
● National Cyber Security Centre: NCSC
・Cyber Governance for Boards
・・2025.04.08 Cyber Governance Code of Practice
・・・[HTML][PDF] Cyber Governance Code of Practice
・・・[PDF] Cyber Governance Code of Practice - one page summary
| Cyber Governance Code of Practice | サイバーガバナンス実践規範 |
| A: Risk management | A: リスクマネジメント |
| Gain assurance that the technology processes, information and services critical to the organisation’s objectives have been identified, prioritised and agreed. | 組織の目標にとって重要なテクノロジープロセス、情報、サービスが識別、優先順位付け、合意されていることを確認する。 |
| Agree senior ownership of cyber security risks and gain assurance that they are integrated into the organisation’s wider enterprise risk management and internal controls. | サイバーセキュリティリスクに対する上級管理者の責任を合意し、それらが組織のエンタープライズリスクマネジメントおよび内部統制に統合されていることを確認する。 |
| Define and clearly communicate the organisation’s cyber security risk appetite and gain assurance that the organisation has an action plan to meet these risk expectations. | 組織のサイバーセキュリティリスク許容度を定義し、明確にコミュニケーションを行い、これらのリスク期待値を満たすための行動計画が組織にあることを保証する。 |
| Gain assurance that supplier information is routinely assessed, proportionate to their level of risk and that the organisation is resilient to cyber security risks from its supply chain and business partners. | サプライヤー情報をリスクレベルに応じて定期的にアセスメントし、組織がサプライチェーンやビジネスパートナーからのサイバーセキュリティリスクに対してレジリエンスであることを保証する。 |
| Gain assurance that risk assessments are conducted regularly and that risk mitigations account for recent, or expected, changes in the organisation, technology, regulations or wider threat landscape. | リスクアセスメントが定期的に実施され、リスク緩和策が組織、テクノロジー、規制、またはより広範な脅威の状況における最近の変化、または予想される変化を考慮していることを保証する。 |
| B: Strategy | B: 戦略 |
| Gain assurance that the organisation has developed a cyber strategy and this is aligned with, and embedded within, the wider organisational strategy. | 組織がサイバー戦略を策定し、それがより広範な組織戦略と整合し、その中に組み込まれていることを保証する。 |
| Gain assurance that the cyber strategy aligns with the agreed cyber risk appetite (Action A3), meets relevant regulatory obligations, and accounts for current or expected changes (Action A5). | サイバー戦略が合意されたサイバーリスク選好度(行動 A3)に沿っており、関連する規制上の義務を満たし、現在または予想される変更(行動 A5)を考慮していることを保証する。 |
| Gain assurance that resources are allocated effectively to manage the agreed cyber risks (Action A3 and A5). | 合意されたサイバーリスクを管理するためにリソースが効果的に割り当てられていることを保証する(行動 A3 および A5)。 |
| Gain assurance that the cyber strategy is being delivered effectively and is achieving the intended outcomes. | サイバー戦略が効果的に実施され、意図した成果を達成していることを保証する。 |
| C: People | C: 人材 |
| Promote a cyber security culture that encourages positive behaviours and accountability across all levels. This should be aligned with the organisation’s strategy (Action B1). | あらゆるレベルにおいて、積極的な行動と説明責任を促すサイバーセキュリティ文化を推進する。これは組織の戦略と整合性が取れているべきである(行動 B1)。 |
| Gain assurance that there are clear policies that support a positive cyber security culture. | 積極的なサイバーセキュリティ文化を支える明確な方針があることを保証する。 |
| Undertake training to improve your own cyber literacy and take responsibility for the security of the data and digital assets that you use. | 自身のサイバーリテラシーを改善し、使用するデータおよびデジタル資産のセキュリティに責任を持つためのトレーニングを実施する。 |
| Gain assurance, using suitable metrics, that the organisation has an effective cyber security training, education and awareness programme. | 適切な評価基準を使用して、組織が効果的なサイバーセキュリティトレーニング、教育、および意識向上プログラムを実施していることを保証する。 |
| D: Incident planning, response and recovery | D: インシデント計画、対応、および復旧 |
| Gain assurance that the organisation has a plan to respond to and recover from a cyber incident impacting business critical technology processes, information and services. | ビジネスに不可欠な技術プロセス、情報、およびサービスに影響を及ぼすサイバーインシデントへの対応および復旧計画を組織が策定していることを保証する。 |
| Gain assurance that there is at least annual exercising of the plan involving relevant internal and external stakeholders and that lessons from the exercise are reflected in the incident plan (Action D1) and risk assessments (Action A5). | 少なくとも年1回は、関連する内部および外部の利害関係者を巻き込んだ計画の演習を実施し、その演習から得られた教訓をインシデント計画(行動D1)およびリスクアセスメント(行動A5)に反映させていることを保証する。 |
| In the event of an incident, take responsibility for individual regulatory obligations, such as reporting, and support the organisation in critical decision making and external communications. | インシデントが発生した場合は、報告義務など個別の規制上の義務を履行し、重要な意思決定や外部コミュニケーションにおいて組織を支援する。 |
| Gain assurance that a post incident review process is in place to incorporate lessons learned into future risk assessments (Action A5), response and recovery plans (Action D1) and exercising (Action D2). | インシデント後のレビュープロセスが、将来のリスクアセスメント(アクションA5)、対応計画(アクションD1)、演習(アクションD2)に教訓を組み込むために実施されていることを確認する。 |
| E: Assurance and oversight | E: 保証と監督 |
| Establish a cyber governance structure which is embedded within the wider governance structure of the organisation. This should include clear definition of roles and responsibilities, including ownership of cyber at executive and non-executive director level. | 組織のより広範なガバナンス構造に組み込まれたサイバーガバナンス構造を確立する。これには、経営陣および非経営陣の取締役レベルにおけるサイバーセキュリティの責任者を含む、役割と責任の明確な定義が含まれるべきである。 |
| Require formal reporting on at least a quarterly basis, set suitable metrics to track, and agree tolerances for each. These should be aligned to the cyber strategy (Action B1) and based on the agreed cyber risk appetite (Action A3). | 少なくとも四半期ごとに正式な報告を義務付け、追跡に適した評価基準を設定し、それぞれについて許容範囲を合意する。これらはサイバー戦略(行動 B1)と整合性を保ち、合意されたサイバーリスク許容度(行動 A3)に基づくべきである。 |
| Establish regular two-way dialogue with relevant senior executives, including but not limited to, the chief information security officer (or equivalent). | 最高情報セキュリティ責任者(または同等の役職者)を含むが、それに限定されない関連する上級経営陣との定期的な双方向の対話を確立する。 |
| Gain assurance that cyber security considerations (including the actions in this code) are integrated and consistent with existing internal and external audit and assurance mechanisms. | サイバーセキュリティに関する考慮事項(本規範の行動を含む)が、既存の内部および外部監査ならびに保証メカニズムに統合され、整合していることを保証する。 |
| Gain assurance that senior executives are aware of relevant regulatory obligations, as well as best practice contained within other Codes of Practice. | 経営幹部が関連する規制上の義務、および他の行動規範に含まれるベストプラクティスを認識していることを保証する。 |
・・Cyber Security Toolkit for Boards
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.11.28 英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)
・2024.02.05 英国 意見募集 サイバー・ガバナンス実践規範 (2024.01.23)
・2023.06.27 英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)
« WIPO 世界知的所有権機関 ウェブサイト・ブロッキング命令の有効性と法的・技術的手段に関する研究 (2024.12.31) | Main | 欧州委員会 AI大陸行動計画 (2025.04.09) »
Comments