サイバーセキュリティ経営ガイドラインとは、経済産業省とIPA(情報処理推進機構)が策定したもので、企業の経営者向けにサイバーセキュリティへのリーダシップとして取るべき対策を示したものです。
具体的には、経営者が認識する必要のある「3原則」、及び経営者がCISO等の情報セキュリティ対策の責任者に指示すべき「重要10項目」がまとめられています。
経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに対応するための仕組みの構築
指示6 サイバーセキュリティ対策における PDCA サイクルの実施
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
平成29年度 春期 情報セキュリティマネジメント試験 午前
ウ 自社のサプライチェーンのビジネスパートナーが行うセキュリティ対策
これが正解です。
経営者が認識する必要のある「3原則」に、「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」とあります。