平成29年秋期試験問題 午前問1

経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)"に従った経営者の対応はどれか。

  • 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,経営者レベルの権限をもたない者をCISOに任命する。
  • サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。
  • サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切な予算の確保を指示する。
  • ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたものです。

[3原則]
  1. 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、IT システム管理の委託先を含めたサイバーセキュリティ対策が必要
  3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
[重要10項目]
  1. サイバーセキュリティ対応方針の策定
  2. リスク管理体制の構築
  3. リスクの把握、目標と対応計画策定
  4. PDCAサイクルの実施と対策の開示
  5. 系列企業・ビジネスパートナーの対策実施及び状況把握
  6. 予算確保・人材配置及び育成
  7. ITシステム管理の外部委託
  8. 情報収集と情報共有
  9. 緊急時対応体制の整備と演習の実施
  10. 被害発覚後の必要な情報の把握、開示体制の整備
  • サイバーセキュリティ経営ガイドラインでは、CISOを「経営陣の一員、もしくは経営トップからその役を任命された、情報セキュリティ対策を実施する上での責任者。」と定義しています。CISO等が役割を果たすためには、自社の経営戦略や経営課題について認識・理解していることが重要となります。このためCISOには経営者レベルの権限を有するものを任命すべきです。
  • 被害発覚後の対応で重要なことは、関係者へ必要な情報を通知するとともに、被害の拡大防止や二次被害の回避など必要な対策を速やかに講じられるようにすることです。このため所管官庁、サイバーセキュリティ機関、報道機関、顧客、ビジネスパートナーなどに対して、それぞれに必要な情報を通知することが求められます。
  • 正しい。有能なサイバーセキュリティ人材を自社に留めておくために適切な処遇の維持・改善が求められます。
  • 系列企業やサプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施状況を、監査の実施等を通じて把握することが求められます。

Pagetop