CISO ハンドブック
情報セキュリティ事故が数多く報道され、またGDPR(EU 一般データ保護規則)などの国際的な規制の対応が求められるなど、セキュリティへの関心が高まり、組織のセキュリティ対策を所轄するCISO(Chief Information Security Officer)が注目されています。一方で、情報セキュリティ対策は、危険性や損失といったマイナス面が主要なテーマとなり、ビジネスに対してどのように貢献するのか、という視点で議論される事は殆どありません。しかし、CISOが経営陣の一員として、セキュリティに取り組むためには、想定される危険性や損失に取り組むだけではなく、ビジネスの視点を持って業務を執行することが求められます。
セキュリティを経営に取り込むための試みとして、経済産業省が発行した「サイバーセキュリティ経営ガイドライン(2)」が注目されています。重要な取り組みのひとつですが、ポリシー順守を目的としたPDCA フレームワークと CSIRT(Computer Security Incident Response Team)が主要な内容で、CISO 業務の執行に必要なビジネスの視点は取り上げられていないように思います。
本書では、この点を踏まえ、CISOが経営陣の一員としてセキュリティ業務を執行する上で前提となる、ビジネス(経営)の基本的な枠組みを整理し、明確にすべき目標と指標、そして施策を評価する判断基準を提供することを目的としています。
CISOハンドブック
CISOダッシュボード
インシデント対応ワークショップ