▼FE平成29年度春期:問39 経済産業省とIPAが策定した”サイバーセキュリティ経営ガイドライン(Ver1.1)”が、自社のセキュリティ対策に加えて、実施状況を確認すべきとしている対策はどれか。
ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策
イ 自社に出資ている株主が行うセキュリティ対策
ウ 自社のサプライチェーンのビジネスパートナーが行うセキュリティ対策
エ 自社の事業所近隣の地域社会が行うセキュリティ対策
▼上に出てきた用語の意味
【サイバーセキュリティ経営ガイドライン(Ver1.1)】目次は次のとおり。
1.はじめに
1.1.サイバーセキュリティ経営ガイドラインの背景と位置づけ
1.2.本ガイドラインの構成と活用方法
2.サイバーセキュリティ経営の3原則
(1)経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、IT システム管理の委託先を含めたセキュリティ対策が必要
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
3.サイバーセキュリティ経営の重要10項目
3.1.リーダーシップの表明と体制の構築
(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
(2)サイバーセキュリティリスク管理体制の構築
3.2.サイバーセキュリティリスク管理の枠組み決定
(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
3.3.サイバー攻撃を防ぐための事前対策
(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
(7)IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
3.4.サイバー攻撃を受けた場合に備えた準備
(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
(10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備(経済産業省 独立行政法人 情報処理推進機構)
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼FEのシラバスでの位置付け
2.情報セキュリティ管理 >(4)情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程) :情報セキュリティ管理における情報セキュリティポリシの基本的な考え方、及びそれに従った組織運営を理解する。また、組織の情報セキュリティ目的、資産の分類・管理手順、情報セキュリティ対策基準などを体系的に定めることを理解する。
(6)情報セキュリティ組織・機関 :不正アクセスによる被害受付の対応、再発防止のための提言、情報セキュリティに関する啓発活動などを行う情報セキュリティ組織・機関の活動を理解する。
解答ウ