ITパスポート過去問 令和1年度(2019年)問25
経営戦略上,ITの利活用が不可欠な企業の経営者を対象として,サイバー攻撃から企業を守る観点で経営者が認識すべき原則や取り組むべき項目を記載したものはどれか。
選択肢
- ア:IT基本法
- イ:ITサービス継続ガイドライン
- ウ:サイバーセキュリティ基本法
- エ:サイバーセキュリティ経営ガイドライン
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
経営戦略としてIT活用が欠かせない企業の経営者に対して、サイバー攻撃から企業を守るための原則や、経営者が実施・指示すべき取組項目をまとめた文書は「サイバーセキュリティ経営ガイドライン」です。
Point
経営者向けに、サイバー攻撃から企業を守るための原則と実施項目をまとめた文書がどれかを判別できることがねらいです。法律(基本法)と、企業の実務に直結するガイドラインを区別し、対象者が「経営者」である点に着目して選べることがポイントです。
解くために必要な知識
この問題を解くには、サイバーセキュリティ関連の法令・ガイドラインについて、対象(誰向けか)と目的(何を示す文書か)を整理して理解しておく必要があります。
用語の整理
各文書の対象と目的
| 用語名 | 対象 | 目的・内容の中心 |
|---|---|---|
| サイバーセキュリティ経営ガイドライン | 企業の経営者(経営層) | サイバー攻撃から企業を守る観点で、経営者が認識すべき原則と、取り組むべき重要項目を示す。 |
| サイバーセキュリティ基本法 | 国・関係機関(制度としての枠組み) | サイバーセキュリティに関する基本理念、関係者の責務、施策の枠組みなどを定める法律。 |
| ITサービス継続ガイドライン | 組織(主にITサービス提供・運用に関わる部門) | 災害・障害などでITサービスが中断した場合の継続、早期復旧の考え方や取組を示す。 |
| IT基本法 | 国(政策の枠組み) | 国のIT政策に関する基本方針を定める法律。企業のサイバー攻撃対策の実施項目集ではない。 |
試験での見分け方
-
設問に「経営者を対象」「原則」「取り組むべき項目」「サイバー攻撃から守る」がそろう場合は、サイバーセキュリティ経営ガイドラインが該当しやすいです。
-
「基本法」は、国としての理念や責務などを定める法律であり、企業向けの具体的な実施項目をまとめた文書ではないのが原則です。
選択肢ごとの解説
- ア:不正解
IT基本法は、IT社会の形成に関する基本理念や国の施策の基本方針を定めた法律です。企業の経営者向けに、サイバー攻撃対策の原則や実施項目をまとめた文書ではありません。
- イ:不正解
ITサービス継続ガイドラインは、災害や障害などの発生時にITサービスを継続・復旧するための指針です。経営者向けにサイバー攻撃対策の原則や具体項目を示すことが主目的ではありません。
- ウ:不正解
サイバーセキュリティ基本法は、国のサイバーセキュリティに関する基本理念や責務、体制などを定める法律です。企業の経営者向けに、実施すべき取組項目を整理して示すガイドラインではありません。
- エ:正解
サイバーセキュリティ経営ガイドラインは、経営戦略上ITの利活用が不可欠な企業の経営者を主な対象として、サイバー攻撃から企業を守る観点で、経営者が理解し実施・指示すべき原則と取組項目を示した文書です。設問の条件に一致します。
まとめ
経営戦略としてIT活用が欠かせない企業の経営者に対して、サイバー攻撃から企業を守るための原則や、経営者が実施・指示すべき取組項目をまとめた文書は「サイバーセキュリティ経営ガイドライン」です。
ストラテジ系 > 企業と法務 > 法務
IT基本法は、IT社会の形成に関する基本理念や国の施策の基本方針を定めた法律です。企業の経営者向けに、サイバー攻撃対策の原則や実施項目をまとめた文書ではありません。
ITサービス継続ガイドラインは、災害や障害などの発生時にITサービスを継続・復旧するための指針です。経営者向けにサイバー攻撃対策の原則や具体項目を示すことが主目的ではありません。
サイバーセキュリティ基本法は、国のサイバーセキュリティに関する基本理念や責務、体制などを定める法律です。企業の経営者向けに、実施すべき取組項目を整理して示すガイドラインではありません。
サイバーセキュリティ経営ガイドラインは、経営戦略上ITの利活用が不可欠な企業の経営者を主な対象として、サイバー攻撃から企業を守る観点で、経営者が理解し実施・指示すべき原則と取組項目を示した文書です。設問の条件に一致します。