基本情報技術者試験 ap-2017h29h-a 午前 問39: 経済産業省と IPA が策定した "サイバーセキュリティ経営ガイドライン（Ver1.1）" の説明はどれか。

問題本文

経済産業省と IPA が策定した "サイバーセキュリティ経営ガイドライン（Ver1.1）" の説明はどれか。

選択肢

• ア.企業が IT 活用を推進していく中で，サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と，情報セキュリティ対策を実施する上での責任者となる担当幹部に，経営者が指示すべき事項をまとめたもの
• イ.経営者が，情報セキュリティについて方針を示し，マネジメントシステムの要求事項を満たすルールを定め，組織が保有する情報を CIA の観点から維持し，継続的に見直すためのプロセス及び管理策を体系的に規定したもの
• ウ.事業体の IT に関する経営者の活動を大きく IT ガバナンス（統制）と IT マネジメント（管理）に分割し，具体的な目標と工程として 37 のプロセスを定義したもの
• エ.世界的規模で生じているサイバーセキュリティ上の脅威に関して，企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの

正解

ア. 企業が IT 活用を推進していく中で，サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と，情報セキュリティ対策を実施する上での責任者となる担当幹部に，経営者が指示すべき事項をまとめたもの

解説

「サイバーセキュリティ経営ガイドライン」の位置づけを問う問題。これは経済産業省とIPAが策定した、経営者向けの指針で、サイバー攻撃から企業を守るために経営者が認識すべき“3原則”と、情報セキュリティ対策の責任者（担当幹部、CISOなど）に経営者が指示すべき“重要10項目”をまとめたものである。よって正解はア。経営者の視点という点が、規格やフレームワークと区別する鍵になる。

選択肢ごとの解説

• ア.正しい。経営者が認識すべき3原則と、担当幹部へ経営者が指示すべき事項をまとめたものが本ガイドラインである。
• イ.情報をCIAの観点で維持し継続的に見直すマネジメントシステムの要求事項を体系化したものはISMS（ISO/IEC 27001）の説明であり、本ガイドラインではない。誤り。
• ウ.ITガバナンスとITマネジメントに分け37のプロセスを定義したのはCOBITの説明であり、本ガイドラインではない。誤り。
• エ.国の責務を定めたものはサイバーセキュリティ基本法の説明であり、経営者向けの本ガイドラインとは異なる。誤り。