内閣サイバーセキュリティセンター(NISC)はこのほど、重要インフラを担う企業のサイバーセキュリティ部門(戦略マネジメント層、担当者層)向けに、「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」を公開した。「重要インフラのサイバーセキュリティに係る安全基準等策定指針」の改定に伴い、リスクマネジメント等の主要なプロセスや、主なセキュリティ対策について参考情報を記載したもので、NISCの「機能保証のためのリスクアセスメント・ガイドライン」、NIST(米国立標準技術研究所)の「重要インフラのサイバーセキュリティフレームワーク(CSF)」、ISO/IEC27001 をベースに構成されている。具体的には、リスクマネジメントのフレームワーク、コミュニケーション及び協議、組織の状況の特定、リスクアセスメント、リスク対応、運用、モニタリング及びレビュー、記録及び報告、対策項目―など、リスクマネジメント活動全体について、重要な点を解説している。また、7章では、初動対応(緊急時対応)の方針等を定めた「コンティンジェンシープラン」(CP)及び事業継続を目的とした復旧対応の方針等を定めた「事業継続計画」(BCP)の策定についても記述。これらの計画や、同等の方針を定めた計画を策定するとともに、当該計画の実行に必要な組織体制を整備することを求めた。

巻末には、別紙として、サイバー攻撃リスクの特性別に、対応や対策の考慮事項をまとめている。

https://www.nisc.go.jp/pdf/policy/infra/rmtebiki202307.pdf