情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅰ 問14: 経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明はどれか。
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅰ
経済産業省と IPA が策定した“(Ver1.1)”の説明はどれか。
選択肢
- ア.企業が IT 活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
- イ.経営者が,情報セキュリティについて方針を示し,マネジメントシステムの要求事項を満たすルールを定め,組織が保有する情報を CIA の観点から維持し,継続的に見直すためのプロセス及び管理策を体系的に規定したもの
- ウ.事業体の IT に関する経営者の活動を大きく IT ガバナンス(統制)と IT マネジメント(管理)に分割し,具体的な目標と工程として 37 のプロセスを定義したもの
- エ.世界的規模で生じているサイバーセキュリティ上の脅威に関して,企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
正解
ア. 企業が IT 活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
解説
サイバーセキュリティ経営ガイドラインは、経営者がリーダーシップを発揮するための「経営者が認識すべき3原則」と、対策責任者(CISO等)へ「経営者が指示すべき重要事項」を整理した文書。アが正解。セキュリティを経営課題と位置づけ、投資判断やインシデント備えを経営層の責務として示す実務指針である。
選択肢ごとの解説
- ア.経営者の3原則と担当幹部への指示事項をまとめたもので、本ガイドラインの説明として正しい。
- イ.CIA維持のための管理策を体系化した枠組みはISMS(ISO/IEC 27001)の説明で誤り。
- ウ.ITガバナンスとマネジメントを37プロセスで定義はCOBITの説明であり誤り。
- エ.国の責務を定めた法はサイバーセキュリティ基本法の趣旨であり、本ガイドラインではない。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅰ の過去問一覧へ戻る・問14