• 1

• サイバーセキュリティリスクへの
  対応方針の策定ができていない

セキュリティを経営リスクとして捉え、組織全体の対応方針が定められているか。

• 2

• リスク管理体制の構築が
  できていない

CISOなどを設置し、責任範囲が明確な
リスク管理体制が構築、運用されているか。

• 3

• 資源（予算・人材等）の確保に
  課題がある

十分なセキュリティ対策、必要なセキュリティ人材の育成にあてる予算はあるか。

• 4

• リスクの把握と対応計画の
  策定ができていない

サイバー攻撃の影響を把握し、リスク回避・
低減を図る対応計画が策定されているか。

• 5

• リスク対応のための仕組みが
  構築できていない

サイバー攻撃の監視・検知、端末から
システムまでの多層防御が実施されているか。

• 6

• PDCAの実施に
  課題がある

セキュリティ計画の確実な実施と継続的な
改善に経営層も関与しているか。

• 7

• 緊急対応体制に
  不安がある

インシデント発生時に、被害を最小化する
初動対応や再発防止策は確立しているか。

• 8

• 復旧体制に
  課題がある

業務停止に至った場合などに備え、復旧手順書や
対応体制が整備されているか。

• 9

• サプライチェーンを意識した
  セキュリティ対策ができていない

パートナーやシステム管理委託先までを包括した
セキュリティ対策を行っているか。

• 10

• 情報共有活動への参加が
  できていない

サイバー攻撃に関する情報共有活動に参加し、
情報提供や入手、活用をしているか。