認定資格制度概要

1. CISO憲章

1-1. 活動方針・活動の目的

CISO協会は、企業のセキュリティ責任者および管理者が集い、最新のIT情報、ITセキュリティ、ITガバナンス、コンプライアンス、RM(リスクマネジメント)、事業継続等企業経営に直結する情報の発信、また会員同士の情報交換の場を提供、さらには各企業の問題解決、方向決定の場となることを目的に以下の活動を行い、これにより、IS(Information Security)の秩序向上に貢献し、下記2項に記述する人々を支援します。

1.2.1 情報提供・発信
1.2.2 会員交流会
1.2.3 CISO Awardの開催
1.2.4 認定資格制度
1.2.5 ガイドラインの策定

1-2. CSIOは下記の人々を支援します

2.1 すべてのCISO会員
2.2 CISO認定資格保有者
2.3 CISO認定資格への出願者
2.4 CISOセミナーへの参加者

本憲章は、情報セキュリティ監査基準でも規定される4つの職業倫理「責任」「独立」「公正」「誠実」を基盤においています。次ページのアクティビティの申請に関しては、個人が責任をもち、公正、誠実に申請することが求められます。

2. 取得から資格更新までの流れ

CISO協会は、認定資格試験に合格して認定資格保有者となった後も、CISOまたはCISO候補および情報セキュリティを担うプロとして、秒針分歩で変化する「今」を理解して適切な意思決定や施策を実施し続けるために、継続的に認定資格セミナーを行って認定資格の維持を支援します。

取得から資格更新までの流れ

3. シラバス知識体系と認定資格のステータス

3-1. CISO認定資格試験・認定資格の知識体系

テーマ分野 Ⅳ 技術
Technology
要素 情報セキュリティ技術評価
技術要素(情報セキュリティ・ネットワーク)
プロセス 計画
Planning
  • クラウドサービスの安全利用標的型攻撃
  • サイバー攻撃からの防御
実行・運用
Executing
ケーススタディ
管理・評価
Controlling
テーマ分野 Ⅳ 技術
Technology
要素 システム構成要素
プロセス 計画
Planning
  • システムの2重化
  • バックアップ
  • 耐災害対策
実行・運用
Executing
ケーススタディ
管理・評価
Controlling
テーマ分野 Ⅲ 戦略
Strategy
要素 情報セキュリティ対策
情報セキュリティ標準・関連法規
プロセス 計画
Planning
  • JIS Q 27000シリーズ
  • JIS Q 15001プライバシーマーク制度
実行・運用
Executing
  • 個人情報保護法
  • 不正アクセス禁止法
  • 不正競争防止法
  • マイナンバー法
管理・評価
Controlling
ISMSと個人情報保護の標準
テーマ分野 Ⅲ 戦略
Strategy
要素 システム戦略
プロセス 計画
Planning
  • システム化計画情報資産管理
  • 全体最適化計画
実行・運用
Executing
  • 情報セキュリティポリシー
  • プライバシーポリシー
管理・評価
Controlling
テーマ分野 Ⅱ マネジメント
Management
要素 情報セキュリティ
プロセス 計画
Planning
内部不正防止ガイドライン
実行・運用
Executing
管理・評価
Controlling
リスクの評価
テーマ分野 Ⅱ マネジメント
Management
要素 プロジェクト管理
プロセス 計画
Planning
内部統制
実行・運用
Executing
BCP
管理・評価
Controlling
システム監査
リスクアセスメント
テーマ分野 Ⅰ CSR
Corporate Social Responsibility
要素 CSR
プロセス 計画
Planning
CSR
実行・運用
Executing
サスティナビリティ
管理・評価
Controlling
テーマ分野 Ⅰ CSR
Corporate Social Responsibility
要素 危機管理
プロセス 計画
Planning
  • リスク
  • マネジメント
実行・運用
Executing
クライシスマネジメント
管理・評価
Controlling
テーマ分野 Ⅰ CSR
Corporate Social Responsibility
要素 法令遵守
プロセス 計画
Planning
コンプライアンス体制
実行・運用
Executing
管理・評価
Controlling
社会的要請に応える

3-2. 資格のステータス(certificate)および呼称

テーマ分野に合格ごとに

合格数 呼称
1 Bronze Certificate
2 Silver Certificate
3 Gold Certificate
4 Platinum Certificate

4. 認定資格セミナーと認定資格試験

4-1. セミナーと試験のオーバービュー

セミナーⅠ
テーマ分野
CSR
要素 法令順守
セミナー受講後に求められるコンピテンス=出題分野 単なるコンプライアンスではなく、経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げられる
セミナーテーマ
出題キーワード
社会的要請に応える
コンプライアンス体
企業経営の透明性
動向・脅威
トピック例
客観的な安全性
消費者、利用者などの安全
事業や業務、情報セキュリティに関する情報開示・説明責任
セミナーⅠ
テーマ分野
マネジメント
要素 情報セキュリティ管理
セミナー受講後に求められるコンピテンス=出題分野 リスクを評価し、組織内における内部不正防止ガイドラインに基づいて、情報セキュリティレベルを維持、強化し、またそれを評価できる
セミナーテーマ
出題キーワード
内部不正防止ガイドライン
ベースラインアプローチ
動向・脅威
トピック例
リスクの評価
組織内における内部不正防止ガイドライン
セミナーⅠ
テーマ分野
マネジメント
要素 プロジェクト管理
セミナー受講後に求められるコンピテンス=出題分野 システム監査、リスクアセスメントを計画、実施、評価して、組織にフィードバックできる
セミナーテーマ
出題キーワード
システム監査  リスクアセスメント
内部統制    BCP
動向・脅威
トピック例
ITガバナンス
コンプライアンス確保に貢献できる監査
セミナーⅠ
テーマ分野
戦略
要素 情報セキュリティ対策
情報セキュリティ標準・関連法規
セミナー受講後に求められるコンピテンス=出題分野 情報セキュリティ対策に必要な標準、
制度および情報セキュリティ関連法規の概要を理解し、指揮、構築、評価できる
セミナーテーマ
出題キーワード
個人情報保護法  不正アクセス禁止法
不正競争防止法  マイナンバー法
ISMSと個人情報保護の標準
動向・脅威
トピック例
ISO/IEC27000規格群
(ISMS整合性評価制度)
JIS Q 27000シリーズ
JIS Q 15001プライバシーマーク制度
EU一般データ保護規則(GDPR)
ISO/IEC 15408
セミナーⅡ
テーマ分野
CSR
要素 CSR
セミナー受講後に求められるコンピテンス=出題分野 単に社会的責任ということではなく、社会へ与える影響に責任を持ち、情報セキュリティから考え、ステークホルダからの要求に対して適切な意思決定ができる
セミナーテーマ
出題キーワード
CSR
サスティナビリティ
動向・脅威
トピック例
企業秘密・個人情報の漏洩などの予期せぬ損害
セミナーⅡ
テーマ分野
CSR
要素 危機管理
セミナー受講後に求められるコンピテンス=出題分野 リスク管理(リスクマネジメント)で将来に備え、危機管理(クライシスマネジメント)でリスクが現実になったとき、マイナスをいかに減らすかを考え準備できる
セミナーテーマ
出題キーワード
リスクマネジメント
クライシスマネジメント
動向・脅威
トピック例
リスクへの対応と管理規程
クライシスへの対応と管理規程
マスコミ対応
セミナーⅡ
テーマ分野
戦略
要素 システム戦略
セミナー受講後に求められるコンピテンス=出題分野 経営戦略に基づいて、全体システム計画や情報化投資計画を策定し、情報セキュリティを包含するビジネスの課題解決に向かうシステム戦略を構築、実施できる
セミナーテーマ
出題キーワード
システム化計画
情報資産管理
全体最適化計画
動向・脅威
トピック例
情報セキュリティポリシー
プライバシーポリシー
セミナーⅢ
テーマ分野
技術
要素 情報セキュリティ技術評価
技術要素(情報セキュリティ・ネットワーク)
セミナー受講後に求められるコンピテンス=出題分野 情報セキュリティ技術評価、技術要素(情報セキュリティ・ネットワーク)を理解し、インターネットの脅威やサイバー攻撃に対する備えを構築し、最新情報を収集してアップデートを指揮、構築、評価できる
セミナーテーマ
出題キーワード
クラウドサービスの安全利用
標的型攻撃、
サイバー攻撃からの防御
動向・脅威
トピック例
2007年 エストニアサイバー攻撃事件
2015年 仏TV5モンドサイバー攻撃事件など
2017年 ランサムウェア攻撃
2018年 仮想通貨流失
セミナーⅢ
テーマ分野
技術
要素 システム
構成要素
セミナー受講後に求められるコンピテンス=出題分野 情報システムの構築から廃棄まで至るライフサイクルを展望した情報セキュリティ施策による、業務に適した情報システムの構築を指揮、構築、評価できる
セミナーテーマ
出題キーワード
システムの2重化
バックアップ
耐災害対策
動向・脅威
トピック例
2011年 東日本大震災など

4-2. セミナーのタイムチャート(120分)

キーノーツ 30分
セッション 50分
コーヒーブレイク 10分
試験 30分

4-3.  認定資格試験問題出題形式と出題数(解答数)の例

出題形式と出題数

試験時間 30分
出題形式 多肢選択式(四肢択一)
出題数
出題キーワード
20問
解答数 20問
テーマ分野 CSR
要素 CSR
セミナーテーマ
出題キーワード
CSR
サスティナビリティ
セミナーで取り上げるトピック

出題例

問1. CSRの説明として、適切なものはどれか。

ア. 企業や組織は、その意思決定や活動が環境や社会に及ぼす影響に責任をもつ。
イ. 企業や組織は法律、規則などのルールに従って活動する。
ウ. 企業や組織は製品やサービスを販売、提供する場合は、環境負荷をできるだけ小さいものにする。
エ. 企業や組織は自らの業務の適性を確保するための体制を構築していく。

解答
解説 ア. 正しい
イ. 企業や組織として守るべき基本的の規範の説明
ウ. グリーン購入の説明
エ. 内部統制の説明
問2. SRIの説明として、適切なものはどれか。

ア. 投資家が投資先をCSRの取り組み具合で選択する考え方。
イ. 企業や組織の地球へのやさしさを社外に公表すること。
ウ. 企業の存在意義や価値観などを示し、企業が活動する際に指針となる基本的な考え方。
エ. 企業の経営状態を正確、迅速に公表する投資家やアナリストに対する継続的な広報活動。

解答
解説 ア. 正しい。SRI(社会的責任投資)の説明
イ. サスティナビリティレポートの説明
ウ. 経営理念の説明
エ. IR(Investor Relations)の説明
問3. リスクの回避の説明として、適切なものはどれか。

ア. 脆弱性に対して情報セキュリティ対策を行うことにより、脅威発生の可能性を下げること。
イ. 脅威の発生要因を停止または全く別の方法に変更して、リスクが発生する可能性を取り去ること。
ウ. リスクが顕在化したときに備えて、リスク保険などで損失を充当する、社内の情報システムの運用を他社に委託するなどして、リスクを他社などに移すこと。
エ. リスクのもつ影響力が小さく、発生可能性が低いため、リスクを低減するための特にセキュリティ対策を行わず、許容範囲内として受容すること。

解答
解説 ア. リスクの低減の説明
イ. 正しい
ウ. リスクの移転の説明
エ. リスクの保有の説明

4-4.  試験準備学習のめやす

第1回CISO補佐官 出題テーマ

  • 個人データに関する保護制度、EU一般データ保護規則(GDPR)
    【特別連載】施行がせまる「EU一般データ保護規則(GDPR)」を学ぼう!第1〜4弾
    (日本CISO協会HP)
  • 「組織における内部不正防止ガイドライン」 独立行政法人 情報処理推進機構
  • 「サイバーセキュリティ経営ガイドライン」(ver2.0)
    経済産業省/独立行政法人 情報処理推進機構
  • JIS Q 27001
  • 経営・組織
    認定資格制度概要(日本CISO協会HP)