情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問9: 経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver 2.0)”に関する記述のうち,適切なものはどれか。
←情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ
経済産業省とIPAが策定した“(Ver 2.0)”に関する記述のうち,適切なものはどれか。
選択肢
- ア.経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
- イ.経営者が認識すべきサイバーセキュリティに関する原則と,経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。
- ウ.事業の規模やビジネスモデルによらず,全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
- エ.製造業のサプライチェーンを構成する小規模事業者の経営者が,サイバー攻撃を受けた際に行う事後対応をまとめたものである。
正解
イ. 経営者が認識すべきサイバーセキュリティに関する原則と,経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。
解説
サイバーセキュリティ経営ガイドラインは、経営者がリーダーシップを発揮してセキュリティに取り組むための指針で、認識すべき3原則と指示すべき重要10項目を示す。経営課題として位置づける点が要点で、イが正解。具体的な技術対策の詳細ではなく経営層向けである点を押さえたい。実務ではCISO設置やリスク管理体制の整備など組織的対応の根拠として参照される。
選択肢ごとの解説
- ア.本ガイドラインは対策をコストではなく投資と捉えることを重視しており、コストとして扱う記述は逆で誤り。
- イ.経営者が認識すべき原則と発揮すべきリーダーシップによる取組み項目を示すという記述が本ガイドラインの趣旨で、これが正解。
- ウ.規模やビジネスモデルによらず一律の対策を定めたものではなく、自社状況に応じた取組みを促す指針のため誤り。
- エ.小規模事業者の事後対応をまとめたものではなく、経営者全般向けの経営指針であるため誤り。
情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ の過去問一覧へ戻る・問9