HOME»情報処理安全確保支援士令和4年春期»午前Ⅱ 問9
情報処理安全確保支援士令和4年春期 午前Ⅱ 問9
問9
経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"に関する記述のうち,適切なものはどれか。
- 経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
- 経営者が認識すべきサイバーセキュリティに関する原則と,経営者がリーダーシップを発揮して取り組むべき項目を取りまとめたものである。
- 事業の規模やビジネスモデルによらず,全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
- 製造業のサプライチェーンを構成する小規模事業者の経営者が,サイバー攻撃を受けた際に行う事後対応をまとめたものである。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
- 本ガイドラインでは、サイバーセキュリティを経営問題であると位置づけています。セキュリティ対策の実施を「コスト」とは捉えるのではなく、将来の事業活動・成長に必要なものと位置づけて「投資」と捉えることが重要としています。
- 正しい。本ガイドラインは、経営者が認識する必要がある「3原則」、及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO 等)に指示すべき「重要10項目」をまとめたものです。
- 本ガイドラインの適用対象としては、大企業及び中小企業(小規模事業者を除く)が想定されているので、「全ての経営者」という表現は誤りとなります。
- 原則として、小規模事業者の経営者は本ガイドラインの対象外です。小規模事業者においては、IPAが策定している「中小企業の情報セキュリティ対策ガイドライン」を活用することが推奨されています。