認定資格制度概要
1. CISO憲章
1-1. 活動方針・活動の目的
CISO協会は、企業のセキュリティ責任者および管理者が集い、最新のIT情報、ITセキュリティ、ITガバナンス、コンプライアンス、RM(リスクマネジメント)、事業継続等企業経営に直結する情報の発信、また会員同士の情報交換の場を提供、さらには各企業の問題解決、方向決定の場となることを目的に以下の活動を行い、これにより、IS(Information Security)の秩序向上に貢献し、下記2項に記述する人々を支援します。
1.2.1 情報提供・発信
1.2.2 会員交流会
1.2.3 CISO Awardの開催
1.2.4 認定資格制度
1.2.5 ガイドラインの策定
1-2. CSIOは下記の人々を支援します
2.1 すべてのCISO会員
2.2 CISO認定資格保有者
2.3 CISO認定資格への出願者
2.4 CISOセミナーへの参加者
本憲章は、情報セキュリティ監査基準でも規定される4つの職業倫理「責任」「独立」「公正」「誠実」を基盤においています。次ページのアクティビティの申請に関しては、個人が責任をもち、公正、誠実に申請することが求められます。
2. 取得から資格更新までの流れ
CISO協会は、認定資格試験に合格して認定資格保有者となった後も、CISOまたはCISO候補および情報セキュリティを担うプロとして、秒針分歩で変化する「今」を理解して適切な意思決定や施策を実施し続けるために、継続的に認定資格セミナーを行って認定資格の維持を支援します。
3. シラバス知識体系と認定資格のステータス
3-1. CISO認定資格試験・認定資格の知識体系
| テーマ分野 | Ⅳ 技術 Technology |
|
|---|---|---|
| 要素 | 情報セキュリティ技術評価 技術要素(情報セキュリティ・ネットワーク) |
|
| プロセス | 計画 Planning |
|
| 実行・運用 Executing |
ケーススタディ | |
| 管理・評価 Controlling |
– | |
| テーマ分野 | Ⅳ 技術 Technology |
|
|---|---|---|
| 要素 | システム構成要素 | |
| プロセス | 計画 Planning |
|
| 実行・運用 Executing |
ケーススタディ | |
| 管理・評価 Controlling |
– | |
| テーマ分野 | Ⅲ 戦略 Strategy |
|
|---|---|---|
| 要素 | 情報セキュリティ対策 情報セキュリティ標準・関連法規 |
|
| プロセス | 計画 Planning |
|
| 実行・運用 Executing |
|
|
| 管理・評価 Controlling |
ISMSと個人情報保護の標準 | |
| テーマ分野 | Ⅲ 戦略 Strategy |
|
|---|---|---|
| 要素 | システム戦略 | |
| プロセス | 計画 Planning |
|
| 実行・運用 Executing |
|
|
| 管理・評価 Controlling |
– | |
| テーマ分野 | Ⅱ マネジメント Management |
|
|---|---|---|
| 要素 | 情報セキュリティ | |
| プロセス | 計画 Planning |
内部不正防止ガイドライン |
| 実行・運用 Executing |
– | |
| 管理・評価 Controlling |
リスクの評価 | |
| テーマ分野 | Ⅱ マネジメント Management |
|
|---|---|---|
| 要素 | プロジェクト管理 | |
| プロセス | 計画 Planning |
内部統制 |
| 実行・運用 Executing |
BCP | |
| 管理・評価 Controlling |
システム監査 リスクアセスメント |
|
| テーマ分野 | Ⅰ CSR Corporate Social Responsibility |
|
|---|---|---|
| 要素 | CSR | |
| プロセス | 計画 Planning |
CSR |
| 実行・運用 Executing |
サスティナビリティ | |
| 管理・評価 Controlling |
– | |
| テーマ分野 | Ⅰ CSR Corporate Social Responsibility |
|
|---|---|---|
| 要素 | 危機管理 | |
| プロセス | 計画 Planning |
|
| 実行・運用 Executing |
クライシスマネジメント | |
| 管理・評価 Controlling |
– | |
| テーマ分野 | Ⅰ CSR Corporate Social Responsibility |
|
|---|---|---|
| 要素 | 法令遵守 | |
| プロセス | 計画 Planning |
コンプライアンス体制 |
| 実行・運用 Executing |
– | |
| 管理・評価 Controlling |
社会的要請に応える | |
3-2. 資格のステータス(certificate)および呼称
テーマ分野に合格ごとに
| 合格数 | 呼称 |
|---|---|
| 1 | Bronze Certificate |
| 2 | Silver Certificate |
| 3 | Gold Certificate |
| 4 | Platinum Certificate |
4. 認定資格セミナーと認定資格試験
4-1. セミナーと試験のオーバービュー
| セミナーⅠ テーマ分野 |
CSR |
|---|---|
| 要素 | 法令順守 |
| セミナー受講後に求められるコンピテンス=出題分野 | 単なるコンプライアンスではなく、経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げられる |
| セミナーテーマ 出題キーワード |
社会的要請に応える コンプライアンス体 企業経営の透明性 |
| 動向・脅威 トピック例 |
客観的な安全性 消費者、利用者などの安全 事業や業務、情報セキュリティに関する情報開示・説明責任 |
| セミナーⅠ テーマ分野 |
マネジメント |
|---|---|
| 要素 | 情報セキュリティ管理 |
| セミナー受講後に求められるコンピテンス=出題分野 | リスクを評価し、組織内における内部不正防止ガイドラインに基づいて、情報セキュリティレベルを維持、強化し、またそれを評価できる |
| セミナーテーマ 出題キーワード |
内部不正防止ガイドライン ベースラインアプローチ |
| 動向・脅威 トピック例 |
リスクの評価 組織内における内部不正防止ガイドライン |
| セミナーⅠ テーマ分野 |
マネジメント |
|---|---|
| 要素 | プロジェクト管理 |
| セミナー受講後に求められるコンピテンス=出題分野 | システム監査、リスクアセスメントを計画、実施、評価して、組織にフィードバックできる |
| セミナーテーマ 出題キーワード |
システム監査 リスクアセスメント 内部統制 BCP |
| 動向・脅威 トピック例 |
ITガバナンス コンプライアンス確保に貢献できる監査 |
| セミナーⅠ テーマ分野 |
戦略 |
|---|---|
| 要素 | 情報セキュリティ対策 情報セキュリティ標準・関連法規 |
| セミナー受講後に求められるコンピテンス=出題分野 | 情報セキュリティ対策に必要な標準、 制度および情報セキュリティ関連法規の概要を理解し、指揮、構築、評価できる |
| セミナーテーマ 出題キーワード |
個人情報保護法 不正アクセス禁止法 不正競争防止法 マイナンバー法 ISMSと個人情報保護の標準 |
| 動向・脅威 トピック例 |
ISO/IEC27000規格群 (ISMS整合性評価制度) JIS Q 27000シリーズ JIS Q 15001プライバシーマーク制度 EU一般データ保護規則(GDPR) ISO/IEC 15408 |
| セミナーⅡ テーマ分野 |
CSR |
|---|---|
| 要素 | CSR |
| セミナー受講後に求められるコンピテンス=出題分野 | 単に社会的責任ということではなく、社会へ与える影響に責任を持ち、情報セキュリティから考え、ステークホルダからの要求に対して適切な意思決定ができる |
| セミナーテーマ 出題キーワード |
CSR サスティナビリティ |
| 動向・脅威 トピック例 |
企業秘密・個人情報の漏洩などの予期せぬ損害 |
| セミナーⅡ テーマ分野 |
CSR |
|---|---|
| 要素 | 危機管理 |
| セミナー受講後に求められるコンピテンス=出題分野 | リスク管理(リスクマネジメント)で将来に備え、危機管理(クライシスマネジメント)でリスクが現実になったとき、マイナスをいかに減らすかを考え準備できる |
| セミナーテーマ 出題キーワード |
リスクマネジメント クライシスマネジメント |
| 動向・脅威 トピック例 |
リスクへの対応と管理規程 クライシスへの対応と管理規程 マスコミ対応 |
| セミナーⅡ テーマ分野 |
戦略 |
|---|---|
| 要素 | システム戦略 |
| セミナー受講後に求められるコンピテンス=出題分野 | 経営戦略に基づいて、全体システム計画や情報化投資計画を策定し、情報セキュリティを包含するビジネスの課題解決に向かうシステム戦略を構築、実施できる |
| セミナーテーマ 出題キーワード |
システム化計画 情報資産管理 全体最適化計画 |
| 動向・脅威 トピック例 |
情報セキュリティポリシー プライバシーポリシー |
| セミナーⅢ テーマ分野 |
技術 |
|---|---|
| 要素 | 情報セキュリティ技術評価 技術要素(情報セキュリティ・ネットワーク) |
| セミナー受講後に求められるコンピテンス=出題分野 | 情報セキュリティ技術評価、技術要素(情報セキュリティ・ネットワーク)を理解し、インターネットの脅威やサイバー攻撃に対する備えを構築し、最新情報を収集してアップデートを指揮、構築、評価できる |
| セミナーテーマ 出題キーワード |
クラウドサービスの安全利用 標的型攻撃、 サイバー攻撃からの防御 |
| 動向・脅威 トピック例 |
2007年 エストニアサイバー攻撃事件 2015年 仏TV5モンドサイバー攻撃事件など 2017年 ランサムウェア攻撃 2018年 仮想通貨流失 |
| セミナーⅢ テーマ分野 |
技術 |
|---|---|
| 要素 | システム 構成要素 |
| セミナー受講後に求められるコンピテンス=出題分野 | 情報システムの構築から廃棄まで至るライフサイクルを展望した情報セキュリティ施策による、業務に適した情報システムの構築を指揮、構築、評価できる |
| セミナーテーマ 出題キーワード |
システムの2重化 バックアップ 耐災害対策 |
| 動向・脅威 トピック例 |
2011年 東日本大震災など |
4-2. セミナーのタイムチャート(120分)
| キーノーツ | 30分 |
|---|---|
| セッション | 50分 |
| コーヒーブレイク | 10分 |
| 試験 | 30分 |
4-3. 認定資格試験問題出題形式と出題数(解答数)の例
出題形式と出題数
| 試験時間 | 30分 |
|---|---|
| 出題形式 | 多肢選択式(四肢択一) |
| 出題数 出題キーワード |
20問 |
| 解答数 | 20問 |
| テーマ分野 | CSR |
|---|---|
| 要素 | CSR |
| セミナーテーマ 出題キーワード |
CSR サスティナビリティ |
| セミナーで取り上げるトピック | – |
出題例
問1. CSRの説明として、適切なものはどれか。
ア. 企業や組織は、その意思決定や活動が環境や社会に及ぼす影響に責任をもつ。
イ. 企業や組織は法律、規則などのルールに従って活動する。
ウ. 企業や組織は製品やサービスを販売、提供する場合は、環境負荷をできるだけ小さいものにする。
エ. 企業や組織は自らの業務の適性を確保するための体制を構築していく。
| 解答 | ア |
|---|---|
| 解説 | ア. 正しい イ. 企業や組織として守るべき基本的の規範の説明 ウ. グリーン購入の説明 エ. 内部統制の説明 |
問2. SRIの説明として、適切なものはどれか。
ア. 投資家が投資先をCSRの取り組み具合で選択する考え方。
イ. 企業や組織の地球へのやさしさを社外に公表すること。
ウ. 企業の存在意義や価値観などを示し、企業が活動する際に指針となる基本的な考え方。
エ. 企業の経営状態を正確、迅速に公表する投資家やアナリストに対する継続的な広報活動。
| 解答 | ア |
|---|---|
| 解説 | ア. 正しい。SRI(社会的責任投資)の説明 イ. サスティナビリティレポートの説明 ウ. 経営理念の説明 エ. IR(Investor Relations)の説明 |
問3. リスクの回避の説明として、適切なものはどれか。
ア. 脆弱性に対して情報セキュリティ対策を行うことにより、脅威発生の可能性を下げること。
イ. 脅威の発生要因を停止または全く別の方法に変更して、リスクが発生する可能性を取り去ること。
ウ. リスクが顕在化したときに備えて、リスク保険などで損失を充当する、社内の情報システムの運用を他社に委託するなどして、リスクを他社などに移すこと。
エ. リスクのもつ影響力が小さく、発生可能性が低いため、リスクを低減するための特にセキュリティ対策を行わず、許容範囲内として受容すること。
| 解答 | イ |
|---|---|
| 解説 | ア. リスクの低減の説明 イ. 正しい ウ. リスクの移転の説明 エ. リスクの保有の説明 |