情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ 問13: 経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver2.0)”の説明はどれか。
←情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ
経済産業省とIPAが策定した“(Ver2.0)”の説明はどれか。
選択肢
- ア.企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,サイバーセキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき重要10項目をまとめたもの
- イ.経営者がサイバーセキュリティについて方針を示し,マネジメントシステムの要求事項を満たすルールを定め,組織が保有する情報資産をCIAの観点から維持管理し,それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの
- ウ.事業体のITに関する経営者の活動を,大きくITガバナンス(統制)とITマネジメント(管理)に分割し,具体的な目標と工程として40のプロセスを定義したもの
- エ.世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して,企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
正解
ア. 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,サイバーセキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき重要10項目をまとめたもの
解説
サイバーセキュリティ経営ガイドラインは経済産業省とIPAが策定し、経営者が認識すべき3原則と、セキュリティ対策の責任者(CISO等)へ経営者が指示すべき重要10項目を示したもの。よってアが正解。イはISMS、ウはCOBIT、エはサイバーセキュリティ基本法の趣旨に近い。セキュリティを経営課題として経営層が主体的に関与すべきと位置づけている点が要点。
選択肢ごとの解説
- ア.経営者が認識すべき3原則と担当幹部へ指示すべき重要10項目を示すという本ガイドラインの内容に合致し正しい。
- イ.方針策定や要求事項、継続的見直しを体系化するのはISMS(JIS Q 27001)の説明であり誤り。
- ウ.ITガバナンスとマネジメントを分け40プロセスを定義するのはCOBITの説明でガイドラインではない。
- エ.国の責務を定めるのはサイバーセキュリティ基本法に近く、経営者向けガイドラインの説明ではない。
情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ の過去問一覧へ戻る・問13