問題
問25
経営戦略上、ITの利活用が不可欠な企業の経営者を対象として、サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目を記載したものはどれか。
- IT基本法
- ITサービス継続ガイドライン
- サイバーセキュリティ基本法
- サイバーセキュリティ経営ガイドライン
[出典:ITパスポート試験 令和元年度 問25]
スポンサーリンク
正解
正解は「エ」です。
解説
正解は「エ」の「サイバーセキュリティ経営ガイドライン」です。これは、経営者が企業のサイバーセキュリティ対策を自社の経営課題として認識し、必要な対策を主体的に進めるために、経済産業省とIPA(独立行政法人情報処理推進機構)により策定されたガイドラインです。
具体的には、経営者が認識すべき三原則や、CISO(最高情報セキュリティ責任者)の設置、インシデント対応体制の整備などが提言されています。 企業においてITは事業遂行に不可欠であり、サイバー攻撃による被害は経営上の大きなリスクです。
例えば、ランサムウェアによる業務停止や、顧客情報流出による信頼喪失などが挙げられます。このような事態に対し、経営者が主導してセキュリティ対策を講じることが求められているため、このガイドラインの理解は非常に重要です。
ア(IT基本法):
IT基本法は、ITの活用による行政・社会の効率化などを基本理念として定めた法律であり、サイバーセキュリティ経営には直接関係しません。
イ(ITサービス継続ガイドライン):
このガイドラインは、ITサービスを災害や障害などから継続的に提供するためのBCP(事業継続計画)に関するもので、経営者視点のセキュリティ対策とは異なります。
ウ(サイバーセキュリティ基本法):
この法律は国全体のサイバーセキュリティ政策の基本方針を定めたもので、個々の企業経営者向けのガイドラインではありません。
難易度
本問題は、各選択肢の名称が類似しており紛らわしいため、内容をしっかり理解していないと誤答しやすい問題です。しかし、基本的なガイドラインの名称と役割を知っていれば確実に解けるため、難易度は中程度です。
スポンサーリンク
用語補足
サイバーセキュリティ経営ガイドライン:
経済産業省とIPAが共同で策定した、企業経営者が自ら主導してサイバーセキュリティ対策に取り組むための指針です。
CISO(Chief Information Security Officer):
最高情報セキュリティ責任者のこと。企業内で情報セキュリティの統括責任を担う役職です。
対策
「〇〇ガイドライン」や「〇〇基本法」など、名称が似ている用語の違いを整理して覚えることが重要です。特に「サイバーセキュリティ経営ガイドライン」は頻出なので、内容(経営者が主導する原則やCISOの設置など)を押さえておきましょう。
