CISOとは、組織の情報セキュリティを統括管理する役職である。セキュリティポリシー(行動指針)の策定やセキュリティインシデントが発生した際の対処の指揮、経営陣と情報セキュリティ関連事項との橋渡し、組織内の情報セキュリティ管理などを主な役割とする。
セキュリティ管理を統括する役職としてはCSO(Chief Information Security Officer)もある。CSOもCISOも同義語として扱われる場合もあるが、CISOは情報セキュリティやコンピュータセキュリティの担当でありCSOは安全対策・社内セキュリティ対策の担当であるというように区別して扱う場合もある。
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/03/10 04:44 UTC 版)
ナビゲーションに移動 検索に移動CISO
 |
このページは曖昧さ回避のためのページです。一つの語句が複数の意味・職能を有する場合の水先案内のために、異なる用法を一覧にしてあります。お探しの用語に一番近い記事を選んで下さい。このページへリンクしているページを見つけたら、リンクを適切な項目に張り替えて下さい。 |
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/06/26 00:59 UTC 版)
「サイバーセキュリティ」の記事における「CISO」の解説
CISO(Chief Information Security Officer、最高情報セキュリティ責任者)は企業などで情報セキュリティを統括する役員のことで、サイバーセキュリティ対策に関する全社的統括に業務責任を負っている。それ以外にもIT戦略(コンプライアンス、リスクマネジメントに関するセキュリティ対策、セキュリティ実施計画やルール策定等)、システム企画におけるセキュリティ実装計画、IT環境における事業継続計画、ディザスタリカバリ、情報セキュリティマネジメントに関して支援・補佐する。 主な業務内容はセキュリティポリシーの策定、個人情報の扱い運用やその監査、コンピュータのセキュリティ対策、機密管理規程の策定、リスク管理、情報漏洩事故の防止、有事の際の対応などを統括する事である。 なお個人情報に関しては「CPO」(Chief Privacy Officer:最高プライバシー責任者)という役職を別に授ける事もある。情報システムの企画、導入、運用、更新を統括するCIO(Chief Information Officer:最高情報責任者) とは別の役職であるが、兼任する場合もある。またCSO (Chief Security Officer:最高セキュリティ責任者) は日本ではCISOと同義である事が多いが、海外ではCISOとは別で、全社的な保安対策を担当を統括する役職を指す。 経営者がCISOに指示すべき主な重要事項は以下の通りである: 経営者が認識すべき3原則分類サイバーセキュリティ経営の重要10項目経営者がリーダーシップをとったセキュリティ対策の推進 サイバーセキュリティリスクの管理体制構築 1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 2 サイバーセキュリティリスク管理体制の構築 3 サイバーセキュリティ対策のための資源(予算、人材等)確保 サイバーセキュリティリスクの特定と対策の実装 4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定★ 5 サイバーセキュリティリスクに対応するための仕組みの構築★ 6 サイバーセキュリティ対策におけるPDCAサイクルの実施 インシデント発生に備えた体制構築 7 インシデント発生時の緊急対応体制の整備★ 8 インシデントによる被害に備えた復旧体制の整備★ サプライチェーンセキュリティ対策の推進 9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 ステークホルダーを含めた関係者とのコミュニケーションの推進 10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 経営者はCISOを任命し、CISOが策定したサイバーセキュリティ対応方針や実施計画を承認する。策定したセキュリティ対応方針は組織の内外に示す。上述の表にあるように、CISOは自身を中心としたサイバーセキュリティリスク管理体制を構築し、経営リスク委員会等他の体制と内部統制、災害対策等について整合を取る必要がある。また「★」がついている項目はCSIRTなどのセキュリティ対応部門に実務を担わせる。
※この「CISO」の解説は、「サイバーセキュリティ」の解説の一部です。
「CISO」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
