平成30年度秋期情報処理安全確保支援士試験午前II 問6

2025年7月7日

【問題6】

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"の説明はどれか。

企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの

経営者が情報セキュリティについて方針を示し、マネジメントシステムの要求事項を満たすルールを定め、組織が保有する情報資産をCIAの観点から維持管理し、継続的に見直すためのプロセス及び管理策を体系的に規定したもの

事業体のITに関する経営者の活動を、大きくITガバナンス(統制)とITマネジメント(管理)に分割し、具体的な目標と工程として40のプロセスを定義したもの

世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して、企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの

【解説】

ア: 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの
正しい。これは"サイバーセキュリティ経営ガイドライン(Ver2.0)"の内容に該当します。このガイドラインは、経営者がサイバーセキュリティを経営課題として認識し、適切に対応するための指針を提供しています。

イ: 経営者が情報セキュリティについて方針を示し、マネジメントシステムの要求事項を満たすルールを定め、組織が保有する情報資産をCIAの観点から維持管理し、継続的に見直すためのプロセス及び管理策を体系的に規定したもの
誤り。これはISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の説明に該当します。

ウ: 事業体のITに関する経営者の活動を、大きくITガバナンス(統制)とITマネジメント(管理)に分割し、具体的な目標と工程として40のプロセスを定義したもの
誤り。これはITガバナンスやCOBITの説明に近い内容です。

エ: 世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して、企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
誤り。これは国の政策や基本法の説明に該当し、"サイバーセキュリティ経営ガイドライン"の内容ではありません。

【答え】

ア: 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの

出典：平成30年度秋期情報処理安全確保支援士試験午前II 問6

← 問題一覧に戻る

← 前の問題へ
次の問題へ →

Posted by chico2740