サイバーセキュリティ経営ガイドライン v20をどう考えるか

サイバーセキュリティ経営ガイドライン v2.0が出ています。

構成は、3原則(リスク認識・リーダーシップの原則、サプライチェーン原則、開示原則)と10項目について、それぞれ、説明しているというものです。あと、チェックシートがついていて、参考情報付きですね。

原則と個別のブレークダウンというのは、きわめて適切な手法かとおもいます。

あと、付録Cで、インシデント発生時に組織内で整理しておくべき事項も公開されています。このテーマの選択も非常にいいですね。

とGood Newsは、ここまでで、あとは、感想。

原則ってもう少しわかりやすくしないとね

個人的な趣味でいえば、原則については、覚えやすい名称をつけるべきだとおもいます。(っていうか、普通、原則には、名前ついているでしょ)

リスク認識は、原則ではないとおもいますね。むしろ、経営というミッションを有するものにとっての当然の手法だとおもいます。(オポチュニティとリスクを考えて、リスクについては、一定のコントロール・受忍・転嫁というお約束です)

そのような基本を行うために、リーダーシップ原則(個人的には、あと、チームワークなんだけどね)、透明性原則ですかね。私だったら、備えあれば憂いなしの原則をいれるかな。

サプライチェーンは、適用範囲なので、原則というのは、ちょっと微妙ですね。

ここら辺の言葉の感覚は、人それぞれかもしれないけど、私の美学とは違いますね。

IPAの10年前のアウトプットがあります

付録Cなのですが、私としては、講演の際には、インシデント発生の際に参考にするものとしては、

情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」( 委託先カーネギーメロン大学日本校)
私が調査委員会 座長をしました(平成19年8月発表)

を常に推薦させてもらっています。

項目Cが、この業績を超えることを目指してもらえればよかったと思いますね。

そもそもの話

バージョン1のときから思っていたのですが根本的なものとして

情報セキュリティ経営

という言葉は成り立ちうるのか、というのが常に念頭にあります。

会社自体が季節労働者

であるITリサーチ・アート(無事、祝10周年)の経営者として考えるときも、まずは、社会と技術のギャップというのをうまくつかんで、そこに分析のメスをいれることで社会に貢献し、しかるべき対価をいただく

という大原則があって、そこにおいて、この分野に投資すれば、とか、タリンの会議にいってネタを仕入れて、ということをしているので、その中で、適切なセキュリティリスクを認識し、評価するということはあったとしても、

セキュリティ自体を目標として認識するというのは、ありえないはずです

リスクの適切な評価とコントロールの設定・受忍等の対応策の決定が経営なのでしょう。

結局、原則と乖離した

掛け声

としての意味はあるとしても、経営者にとっては、

経営がわかっていないんじゃないの

とみられそうです。

では、適切な情報セキュリティに対する評価を行ってもらうためにどうするか、となってくると、

インセンティブ設計

のほうがはるかに重要になるよね、ということかもしれません。

 

 

 

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook
カテゴリー: リスク, 情報セキュリティ パーマリンク