基本情報技術者試験 ap-2021r03h-a 午前 問41: 経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン（Ver2.0）”の説明はどれか。

問題本文

経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン（Ver2.0）”の説明はどれか。

選択肢

• ア.企業が IT 活用を推進していく中で，サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と，サイバーセキュリティ対策を実施する上での責任者となる担当幹部に，経営者が指示すべき重要 10 項目をまとめたもの
• イ.経営者がサイバーセキュリティについて方針を示し，マネジメントシステムの要求事項を満たすルールを定め，組織が保有する情報資産を CIA の観点から維持管理し，それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの
• ウ.事業体の IT に関する経営者の活動を，大きく IT ガバナンス（統制）と IT マネジメント（管理）に分割し，具体的な目標と工程として 40 のプロセスを定義したもの
• エ.世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して，企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの

正解

ア. 企業が IT 活用を推進していく中で，サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と，サイバーセキュリティ対策を実施する上での責任者となる担当幹部に，経営者が指示すべき重要 10 項目をまとめたもの

解説

サイバーセキュリティ経営ガイドラインは、経済産業省とIPAが、経営者がリーダーシップをとってサイバーセキュリティ対策を進めるためにまとめた文書である。その中心は、経営者が認識すべき“3原則”と、対策の実務責任者（CISO等）に経営者が指示すべき“重要10項目”であり、これを過不足なく述べている選択肢アが正解である。

選択肢ごとの解説

• ア.経営者向けの“3原則”と、担当幹部へ指示すべき“重要10項目”という、このガイドラインの骨格を正しく説明しており正解である。
• イ.方針策定・マネジメントシステムの要求事項・CIA（機密性・完全性・可用性）の維持管理・継続的見直しを体系化したものは、情報セキュリティマネジメントシステム（ISMS／JIS Q 27001）の説明であり誤りである。
• ウ.ITの活動をITガバナンスとITマネジメントに分けて多数のプロセスを定義したものは、ITガバナンスのフレームワークであるCOBITの説明であり誤りである。
• エ.国の責務を定めたものは、サイバーセキュリティ基本法など“国の施策・責務”を規定する法令の説明であって、経営者向けガイドラインの説明ではないため誤りである。