企業のリスクマネジメントの一環として行われるサイバーセキュリティリスク対策の推進において、経営者に求められる役割として、最も適切なものはどれか。
| ア | IT部門のセキュリティ担当者に、部門ごとのサイバーセキュリティリスク対応の方針の決定と実行を全て任せる。 |
| イ | サイバーセキュリティ対策を実施する上での責任者となるCISOの任命し、実行や判断を全て任せす。 |
| ウ | 実施方針の検討、予算や人材の割当て、実施状況の確認や問題の把握と対応を通じて自らリーダーシップを発揮する。 |
| エ | 専門家である外部コンサルタントに、自社の組織や事業におけるリスクの分析と対策の推進に関する権限と責任を委譲する。 |
答え ウ
【解説】
| ア | サイバーセキュリティリスク対応の方針の決定と実行は、IT部門のセキュリティ担当者に任せるのではなく、CISOを中心に経営陣が行います。(×) |
| イ | サイバーセキュリティ対策を実施する上での責任者となるCISOの任命し、CISOを中心に経営陣が実行や判断を行います。(×) |
| ウ | 実施方針の検討、予算や人材の割当て、実施状況の確認や問題の把握と対応を通じて経営陣自らがリーダーシップを発揮します。(〇) |
| エ | 専門家である外部コンサルタントからの、自社の組織や事業におけるリスクの分析と対策の推進に関するアドバイスを参考に経営陣の責任で実施します。(×) |
【キーワード】
・情報セキュリティ管理基準
- 情報セキュリティ管理基準
組織の保有する「情報資産」のリスクマネジメントが有効に行われているかどうかという点を評価するための「情報セキュリティ監査」にあたっての判断の尺度となるものです。
JISX 5080:2002(情報技術 - 情報セキュリティマネジメントの実践のための規範)をベースに策定されていて、132のコントロールとそれを詳細化した952のサブコントロールから構成されています。
もっと、「情報セキュリティ管理基準」について調べてみよう。
戻る
一覧へ
次へ