分野：ストラテジ系
中分類：法務
小分類：セキュリティ関連法規

サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」をまとめたものです。

このうち経営者が認識する必要がある3原則の要旨は次の通りです。

• セキュリティ投資にリターンは望めないので、経営者がリーダーシップをとって対策を推進すべきである。
• 系列企業やサプライチェーンのビジネスパートナ等を含めたセキュリティ対策が必要である。
• 平時及び緊急時のいずれにおいてもセキュリティリスクや対策に関する情報開示など、ステークホルダとの適切なコミュニケーションが必要である。

したがって「エ」が適切な記述です。

• IT基本法は、正式名称を「高度情報通信ネットワーク社会形成基本法」といい、インターネット時代におけるIT活用の基本理念及び基本方針、及びそれに関連して政府に設置される機関について定めた法律です。
• ITサービス継続ガイドラインは、経済産業省が策定した「事業継続計画（BCP）策定ガイドライン」のITにかかる部分について、企業をはじめとするユーザー組織を念頭に実施策等を具体化したものです。
• サイバーセキュリティ基本法は、日本国におけるサイバーセキュリティに関する施策の推進にあたっての基本理念、及び国及び地方公共団体の責務等を明らかにし、サイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めた法律です。
• 正しい。サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項をまとめた指針です。