経済産業省とIPAがまとめた資料で、以下のサイトには「サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。」とあります。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
過去問(平成29年春期午前問39)では、「経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明」として、「企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの」とあります。

■H29春SG午前
問2 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策
イ 自社に出資している株主が行うセキュリティ対策
ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策
エ 自社の事業所近隣の地域社会が行うセキュリティ対策

正解はウです。

■H29秋SG午前
問1 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。
ア 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,
 経営者レベルの権限をもたない者をCISOに任命する。
イ サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃につ
 いての情報を外部に一切提供しないよう命じる。
ウ サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切
 な予算の確保を指示する。
エ ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を
 実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握
 することを禁止する。

正解はウ