SC 令和4年度春期問9

　経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン（Ver2.0）”に関する記述のうち，適切なものはどれか。

経営者が，実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し，コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
経営者が認識すべきサイバーセキュリティに関する原則と，経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。
事業の規模やビジネスモデルによらず，全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
製造業のサプライチェーンを構成する小規模事業者の経営者が，サイバー攻撃を受けた際に行う事後対応をまとめたものである。

解答

　イ

解説

　サイバーセキュリティ経営ガイドライン（Ver2.0）は、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため策定されたものです。
　サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」がまとめられています。

www.meti.go.jp

経営者が，実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し，コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要としています。
経営者が認識すべきサイバーセキュリティに関する原則と，経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。
適切です。
“サイバーセキュリティ経営ガイドライン（Ver2.0）”に関する記述です。
事業の規模やビジネスモデルによらず，全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
事業の規模やビジネスモデルにを考慮して、適切な対策が求められます。
製造業のサプライチェーンを構成する小規模事業者の経営者が，サイバー攻撃を受けた際に行う事後対応をまとめたものである。
製造業や小規模事業者に限りません。また事後対応のみではなくリスクに対する事前対応も含みます。