応用情報技術者 2021年 春期 午前2 問41
問題文
経済産業省と IPAが策定した “サイバーセキュリティ経営ガイドライン (Ver2.0)“の説明はどれか。
選択肢
ア:企業が IT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、サイバーセキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき重要 10項目をまとめたもの(正解)
イ:経営者がサイバーセキュリティについて方針を示し、マネジメントシステムの要求事項を満たすルールを定め、組織が保有する情報資産を CIAの観点から維持管理し、それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの
ウ:事業体の IT に関する経営者の活動を、大きく ITガバナンス (統制) と IT マネジメント (管理) に分割し、具体的な目標と工程として40のプロセスを定義したもの
エ:世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して 企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
サイバーセキュリティ経営ガイドライン (Ver2.0)【午前2 解説】
要点まとめ
- 結論:サイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則と重要10項目を示し、企業のサイバー防御を経営視点で支援します。
- 根拠:経済産業省とIPAが策定し、経営者が主体的にサイバーリスクに対応するための指針を明確化しています。
- 差がつくポイント:経営者の役割と責任、具体的な指示事項が明示されている点を理解し、他の管理体系や政策文書と区別できることが重要です。
正解の理由
アは、経営者がサイバー攻撃から企業を守るために認識すべき3原則と、担当幹部に指示すべき重要10項目をまとめた内容であり、ガイドラインの趣旨に合致しています。これは経営層が主体的にサイバーセキュリティ対策を推進するための具体的な指針を示しているため、正解です。
よくある誤解
「経営者の方針やマネジメントシステムの規定」と「経営者が認識すべき原則と指示事項」は異なる概念であり、ガイドラインの内容を混同しやすい点に注意が必要です。
解法ステップ
- 問題文の「サイバーセキュリティ経営ガイドライン (Ver2.0)」の目的を確認する。
- 各選択肢の内容が経営者の役割や指針に合致しているかを比較する。
- 経営者が認識すべき3原則と重要10項目の存在を確認し、それに該当する選択肢を特定する。
- 他の選択肢が示す内容(マネジメントシステム、ITガバナンス、国の責務)と区別する。
- 最もガイドラインの趣旨に合致する選択肢を選ぶ。
選択肢別の誤答解説
- イ:経営者の方針やマネジメントシステムの要求事項を規定する内容で、ISO27001などの情報セキュリティマネジメントシステムに近い説明です。
- ウ:ITガバナンスとITマネジメントのプロセス定義であり、サイバーセキュリティ経営ガイドラインの内容とは異なります。
- エ:国の責務を定めた政策的な文書の説明で、ガイドラインの具体的な経営者向け指針とは異なります。
補足コラム
サイバーセキュリティ経営ガイドラインは、経営者がサイバーリスクを経営課題として捉え、組織全体で対策を推進するための指針です。経営層の理解とコミットメントが企業のセキュリティ強化に不可欠であることを強調しています。
FAQ
Q: サイバーセキュリティ経営ガイドラインは誰が対象ですか?
A: 主に企業の経営者や経営層が対象で、サイバーリスク管理の責任を持つ幹部にも指示事項が示されています。
A: 主に企業の経営者や経営層が対象で、サイバーリスク管理の責任を持つ幹部にも指示事項が示されています。
Q: ガイドラインの3原則とは何ですか?
A: 企業がサイバー攻撃に備えるために経営者が認識すべき基本的な考え方で、具体的には「経営者の自覚」「リスク管理の実施」「継続的な改善」が含まれます。
A: 企業がサイバー攻撃に備えるために経営者が認識すべき基本的な考え方で、具体的には「経営者の自覚」「リスク管理の実施」「継続的な改善」が含まれます。
関連キーワード: サイバーセキュリティ経営ガイドライン、経営者の役割、サイバーリスク管理、経済産業省、IPA
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!