提案用サマリー|サイバーセキュリティ対策(ガバナンス)
サイバーセキュリティを「経営リスク」として扱うための意思決定体制(委員会)を立ち上げる際に、 初期に押さえるべき準備事項と初回開催の論点を整理しました。
何のリスクを、どのレベルで、誰が決めるかを明文化します。
限られた投資・工数で、効果の高い領域から着手します。
例外承認や重大インシデント時の判断線を明確にします。
初回開催までに最低限そろえる項目(“空欄がある状態”でも開始できます)
| 所要 | 議題 | アウトプット |
|---|---|---|
| 5分 | 開会・目的確認 | 委員会の狙いを共有 |
| 10分 | 委員会規程の確認・承認 | 規程の確定 |
| 30分 | 現状整理(資産・対策・委託・過去事象) | 不足情報の洗い出し |
| 20分 | 主要リスクの整理(事業影響ベース) | 重点リスク仮説 |
| 15分 | 当面の重点テーマ決定(1〜2件) | 着手テーマ・責任者 |
| 10分 | 宿題・次回予定 | タスクと期限 |
セキュリティの考え方、適用範囲、責任分界、例外の扱いを簡潔に定義。
報告・判断・連絡・復旧・再発防止の流れと意思決定ポイントを可視化。
リスクと対策を紐付け、優先度・担当・期限を管理(委員会で進捗確認)。
社内規程として整備する際の骨子(必要に応じて詳細化してください)。
| 項目 | 記載例 |
|---|---|
| 目的 | サイバーセキュリティリスクの未然防止、被害最小化、対応力向上を目的とする。 |
| 所掌事項 | 方針/規程、重点リスク、重大インシデント対応方針、教育方針、委託先方針等を審議・決定する。 |
| 構成 | 委員長(経営層)、委員(情シス・法務/コンプラ・総務/人事・事業部代表)、事務局。 |
| 開催 | 定例(例:四半期1回)および必要に応じ臨時開催。 |
| 意思決定 | 出席委員の過半数合意(経営判断が必要な事項は経営会議へ報告/付議)。 |
| 記録 | 議事録を作成し、決定事項と宿題(担当/期限)を明確にして保管する。 |
| 改廃 | 委員会決議により改廃する。 |