CISO ハンドブックについて
情報セキュリティ事故が数多く報道され、またGDPR(EU 一般データ保護規則)などの国際的な規制の対応が求められるなど、セキュリティへの関心が高まり、組織のセキュリティ対策を所轄するCISO(Chief Information Security Officer)が注目されています。一方で、情報セキュリティ対策は、危険性や損失といったマイナス面が主要なテーマとなり、ビジネスに対してどのように貢献するのか、という視点で議論される事は殆どありません。しかし、CISOが経営陣の一員として、セキュリティに取り組むためには、想定される危険性や損失に取り組むだけではなく、ビジネスの視点を持って業務を執行することが求められます。
セキュリティを経営に取り込むための試みとして、経済産業省が発行した「サイバーセキュリティ経営ガイドライン(2)」が注目されています。重要な取り組みのひとつですが、ポリシー順守を目的としたPDCA フレームワークと CSIRT(Computer Security Incident Response Team)が主要な内容で、CISO 業務の執行に必要なビジネスの視点は取り上げられていないように思います。
本書では、この点を踏まえ、CISOが経営陣の一員としてセキュリティ業務を執行する上で前提となる、ビジネス(経営)の基本的な枠組みを整理し、明確にすべき目標と指標、そして施策を評価する判断基準を提供することを目的としています。

【本書の使い方】
・経営会議で資料を作る際のひな型として
・技術担当から CISO になった人がビジネスを理解するための参考として
・セキュリティ経験の少ない CISO がセキュリティ業務を理解するための参考として
・経営会議で話される業務執行(CISO の役割と責任、業務)の概要を理解する参考として
・ビジネスに関連付けた計測項目と判断基準の例として
・ビジネスに沿ったセキュリティ計画や、事業継続計画の策定の資料として

報告書作成メンバー
WGリーダー
河野 省二 (株式会社ディアイティ)※在籍時:2016 年 5 月-2017 年 10 月
高橋 正和 (株式会社 Preferred Networks)※2017 年 11 月からリーダー代行
執筆メンバー
荒木 粧子 (株式会社ソリトンシステムズ)
池上 美千代(東芝デジタルソリューションズ株式会社)
北澤 麻理子(ドコモ・システムズ株式会社)
武田 一城 (株式会社ラック)
田中 朗 (三菱電機インフォメーションネットワーク株式会社)
西尾 秀一 (独立行政法人情報処理推進機構/株式会社NTTデータ) 
福岡 かよ子(株式会社インテック)
他、CISO 支援ワーキンググループメンバー

レビューアー
岡田 良太郎(日本 CISO 協会/株式会社アスタリスク・リサーチ)
蔵本 雄一 (日本 CISO 協会/合同会社 WHITE MOTION)
鎌田 敬介 (一般社団法人 金融 ISAC)

協力
日本 CISO 協会
日本 ISMS ユーザーグループ
CISOハンドブック
CISOハンドブック v1.1β PDF [4.89MB] (2018.6.22 更新)
CISOダッシュボードv09 PDF [1.94MB]
 ※CISO が経営会議で報告し了承を得るための内容を「CISO ダッシュボード」と呼称し考察しました。
インシデント対応ワークショップVer01 PDF [1.58MB]
 ※「インシデント対応手順」の策定を通じて、組織のセキュリティ在り方やステークホルダーを明らかにし、
  事故が発生した際には、手順に従ったインシデント対応を適切かつ遅滞なく実施できることを目指すものです。
インシデント対応ワークショップ-表v02 PDF [47KB]
 ※上記ワークショップを行う場合に使う表です。
本報告書に関する引用・内容についてのご質問等はフォームからご連絡下さい。
※引用のご連絡に対する承諾通知はご返信しておりませんのでご了承下さい。
引用・お問合せフォームへ

※Acrobat Reader 6.0以前のバージョンでは正常な表示ができない場合が
あります。Acrobat Reader 7.0以降のバージョンでお読みください。
http://www.adobe.co.jp/products/acrobat/readstep2.html