サイバーセキュリティ経営ガイドライン

特徴

• サイバーセキュリティ経営ガイドラインとは、経済産業省とIPAが策定しているもので、企業の経営者向けにサイバー攻撃への対応方法が明記されているもの
• 2015年から公開され、最新版は2017年11月公開のVer2.0
• 経営者の３原則と指示すべき重要事項10項目が示されている。
• 経営者の３原則
  1. サイバーセキュリティの認識と、対策へのリーダシップ
  2. 自社、および、ビジネスパートナー・委託先も含めたセキュリティ対策
  3. 関係者との適切なコミュニケーション
• 重要事項10項目
  1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  2. サイバーセキュリティリスク管理体制の構築
  3. サイバーセキュリティ対策のための資源（予算、人材等）確保
  4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  5. サイバーセキュリティリスクに対応するための仕組みの構築
  6. サイバーセキュリティ対策におけるPDCAサイクルの実施
  7. インシデント発生時の緊急対応体制の整備
  8. インシデントによる被害に備えた復旧体制の整備
  9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
  10. 情報共有活動への参加を通じた攻撃情報の入手とそ の有効活用及び提供
• 最新版への改訂にあたっては、サイバー攻撃を受けた後の事後対策、特に検知や復旧といった項目の充実が図られている。

過去問

平成30年度 秋期 情報処理安全確保支援士試験

【出典：情報処理安全確保支援士試験 平成30年度 秋期 午前2 問6（一部、加工あり）】

経済産業省とIPAが策定した”サイバーセキュリティ経営ガイドライン（Ver 2.0）”の説明はどれか。

1. 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの
   →正解
2. 経営者が情報セキュリティについて方針を示し、マネジメントシステムの要求事項を満たすルールを定め、組織が保有する情報資産をCIAの観点から維持管理し、それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの
   →情報セキュリティ管理基準の説明です。
3. 事業体のITに関する経営者の活動を、大きくITガバナンス（統制）とITマネジメント（管理）に分割し、具体的な目標と工程として37のプロセスを定義したもの
   →COBIT5（Control Objectives for Information and related Technology 5）の説明です。
4. 世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して、企業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの
   →サイバーセキュリティ基本法の説明です。