サイバーセキュリティポリシーってなんですか？（Web品質管理マネ日報#006）

システム部門に任せればいいとかそういう偏見や分断が起こりがちなサイバーセキュリティーに関わる業務。様々な事件に直面し、やっと本腰を入れる企業が多いかと思います。起こってからでは遅い、という場合もありますのでリスクの把握や体制の整備は少しずつでも着実に行いたいものです。

わが社でも、できれば3年以内にISO27001認証を目指して活動を起こそうとしております。しかし参考文献は魔導書なみの難しさ、あっという間にスリプルがかかります。少しずつ切り崩していきたいので、学びをかみ砕いてここにまとめていきます。

サイバーセキュリティ経営ガイドライン 10か条
1.経営者名義でセキュリティポリシーを定めてくれい！
2.責任を明確にした体制を整備してくれい！
3.何を守るか決めてリスクを洗い出し、対処計画を作れい！
4.計画実施と改善のPDCA実施と然るべき報告はしなきゃ困るよ、きみぃ！
5.ビジネスパートナーにももちろん対策してもらってるよね？
6.必要な予算確保や人材育成は渋ってないですよねぇ？
7.自社か他社委託か切り分ける。委託先への攻撃も想定し計画しようね…
8.社会的な情報共有活動に参加しようね。
9.インシデント対応マニュアルや対応フローを整備してあるよね？
10.やられちゃった後の情報提供先、方法、体制も考えとけよ？

かみ砕いたつもりなんだけど、高い壁は高い壁。擬人化でもしようかな？
一つ一つが山で、これからこの山登りをしていくわけでありますが、今日はここまでといたします。