大企業や中小企業(小規模の事業者を除く)のうち、ITに関するシステム・サービスなどを供給する企業や、経営戦略においてIT利活用が不可欠である企業の経営者を対象として、経営者のリーダシップでサイバーセキュリティ対策を推進するためのガイドラインのこと。サイバー攻撃から企業を守るという観点で、経営者が認識する必要がある「3原則」や、情報セキュリティ対策を実施するうえでの責任者となる担当幹部(CISOなど)に対して経営者が指示すべき「重要10項目」について取りまとめている。
3原則では、次のような内容を認識し、対策を進めることが重要であるとしている。
・経営者はリーダシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の成長のためのセキュリティ投資を実施すべきである。
・自社のサイバーセキュリティ対策にとどまらず、サプライチェーンのビジネスパートナや委託先も含めた総合的なサイバーセキュリティ対策を実施すべきである。
・平時からステークホルダ(顧客や株主など)を含めた関係者にサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成し、インシデント発生時にもコミュニケーションが円滑に進むよう備えるべきである。
正解 エ