情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問6: 経済産業省と IPA が策定した "サイバーセキュリティ経営ガイドライン(Ver2.0)" の説明はどれか。
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ
経済産業省と IPA が策定した "(Ver2.0)" の説明はどれか。
選択肢
- ア.企業が IT 活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
- イ.経営者が情報セキュリティについて方針を示し,マネジメントシステムの要求事項を満たすルールを定め,組織が保有する情報資産を CIA の観点から維持管理し,それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの
- ウ.事業体の IT に関する経営者の活動を,大きく IT ガバナンス(統制)と IT マネジメント(管理)に分割し,具体的な目標と工程として 37 のプロセスを定義したもの
- エ.世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して,企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
正解
ア. 企業が IT 活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき 3 原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの
解説
サイバーセキュリティ経営ガイドラインは、経営者がサイバー攻撃対策を経営課題として捉えるための指針。経営者が認識すべき3原則と、CISO等の担当幹部へ経営者が指示すべき重要10項目を中核とする。アがこの3原則と指示事項の構成を正しく述べておりアが正解。実務ではセキュリティ投資やインシデント対応を経営の意思決定として位置づける根拠になる。
選択肢ごとの解説
- ア.経営者が認識すべき3原則と担当幹部への指示事項をまとめた構成で、本ガイドラインの説明として正しく正解。
- イ.方針策定やCIA維持を体系化したマネジメントシステムはISMS(ISO/IEC 27001)の説明で本ガイドラインではない。
- ウ.ITガバナンスとマネジメントに分け37プロセスを定義するのはCOBITの説明で、本ガイドラインとは異なる。
- エ.国の責務を定めるのはサイバーセキュリティ基本法の領域で、経営者向け指針である本ガイドラインとは別物で誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ の過去問一覧へ戻る・問6