Web教材一覧法規・基準

サイバーセキュリティ基本法・経営ガイドライン


サイバーセキュリティ基本法

サイバーセキュリティ基本法の条文( http://law.e-gov.go.jp/htmldata/H26/H26HO104.html)

サイバーセキュリティ基本法は、国のサイバーセキュリティに関する施策についての基本理念や国の責任範囲を明らかにし、施策の基本的事項の取り組みや体制の設置などを求める法律です。2014年に成立・施行しました。

(目的)第一条

各組織での責務

推進組織

サイバーセキュリティ戦略本部
サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、に、サイバーセキュリティ戦略本部が設置されました(従来の「情報セキュリティ政策会議」を改組)。
主な役割
・サイバーセキュリティ戦略の立案と実施の推進
・政府機関などにおける対策基準の作成や評価の実施
・政府機関などで発生する重大なセキュリティ事案などの評価
内閣サイバーセキュリティセンター
サイバーセキュリティ戦略本部とともに、内閣官房に内閣サイバーセキュリティセンター(NICS:National center of Incident readiness and Strategy for Cybersecurity)が設置されました(「情報セキュリティ対策推進室」→「情報セキュリティセンター」を改組)。
主な役割
・「政府機関情報セキュリティ横断監視・即応調整チーム」(GSOC)の運用
・サイバー攻撃などの分析
・国内外のセキュリティ関連情報の収集
・国際連携
・人材育成

サイバーセキュリティ経営ガイドライン

企業にとってIT利活用は不可欠になっている一方で、機密情報を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。経済産業省は、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため
 経済産業省「サイバーセキュリティ経営ガイドライン Ver 1.1」(2016年12月)
  http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf
を策定しました。

大企業及び中小企業(小規模事業者を除く)のうち、ITに関 する製品やシステム、サービス等を供給する企業及び経営戦略上ITの利活用が 不可欠である企業の経営者を対象として、
サイバー攻撃から企業を守る観点で、
 経営者が認識する必要がある「3原則」
 経営者が情報セキュリテ ィ対策責任者となる担当幹部(CISO等)に指示すべき「重要10項目」
をまとめたものです。

経営者が認識する必要がある3原則

CISO等に指示すべき重要10項目

これらに関して、「対策を怠った場合のシナリオ」と「対策例」を掲げています。

チェックリスト等

ガイドラインでは、「3原則」「重要10項目」の現状を確認するための「サイバーセキュリティ経営チェックシート」を掲げています。
また、情報処理推進機構(IPA)は、「サイバーセキュリティ経営ガイドライン解説書」(http://www.ipa.go.jp/files/000056148.pdf)を公表しています。