認定資格制度
日本CISO協会認定資格制度について
※ 現在、認定資格制度については、受付を停止しております。
アプローチとしてのCISOキーワード
企業のセキュリティ責任者、および管理者の認識や地位の確立、定着、浸透。最新のIT情報、ITセキュリティ、ITガバナンス、コンプライアンスおよびRM(リスクマネジメント)、事業継続等企業経営に直結する情報の発信。
上記のキーワードにより、次の4つの概念、制度、試験から認定資格制度を組み立てています。
認定資格制度
1CSR(企業理念を実現するために実践しているすべての活動)
CSR(Corporate Social Responsibility)
企業や組織が利益を追求するだけでなく(≠企業の社会的責任)、社会へ与える影響に責任をもち、利害関係者(ステークホルダ)からの要求に対して適切な意思決定をするもの。
危機管理
リスク管理(リスクマネジメント)と危機管理(クライシスマネジメント)からなり、前者は常に未来に備え、後者はリスクが現実に起こったとき、マイナスをいかに減らすかを目的とする。
法令遵守
単に法令を守るという意味ではなく(≠コンプライアンス)、業務遂行の際、あるいは一大事に遭遇したときに、その経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げること。
情報セキュリティマネジメントの軸が整った上で、はじめて危機管理体制が確立できる
2情報セキュリティマネジメント試験(経産省)
経済産業省は、国家試験「情報処理技術者試験」の新区分として「情報セキュリティマネジメント試験」を創設し、2016年4月に第1回の試験を実施した。
技術者というよりも、企業や組織における活動や一般生活で、ICT(Information&Communication Technology)を利用する際に必要な情報セキュリティの知識を身につけ、実際に活用したり、それによってまわりの人々を助ける人材がもっと必要だというという考えのもとに創られている。
重点分野
分野 | キーワード |
---|---|
マネジメント 情報セキュリティ管理・対策 |
|
ストラテジー 情報セキュリティ標準・関連法規 情報セキュリティ戦略 |
|
テクノロジー 情報セキュリティ技術・評価 |
|
マネジメントに準じる分野
大分類 | プロジェクトマネジメント | ||
---|---|---|---|
中分類 |
| ||
テーマ |
| ||
環境変化・動向・直面する脅威 | 組織内における内部不正防止ガイドライン |
大分類 | サービスマネジメント | ||
---|---|---|---|
中分類 |
| ||
テーマ |
| ||
環境変化・動向・直面する脅威 |
|
ストラテジに準じる分野
大分類 | 企業と法務 | ||
---|---|---|---|
中分類 |
| ||
テーマ |
| ||
環境変化・動向・直面する脅威 |
|
大分類 | システム戦略 | ||
---|---|---|---|
中分類 |
| ||
テーマ |
| ||
環境変化・動向・直面する脅威 |
|
テクノロジーに準じる分野
大分類 | 技術要素 | ||
---|---|---|---|
中分類 |
| ||
テーマ |
| ||
環境変化・動向・直面する脅威 |
|
大分類 | コンピュータシステム | ||
---|---|---|---|
中分類 |
| ||
テーマ |
| ||
環境変化・動向・直面する脅威 | 2011年 東日本大震災 など |
3ISMS適合性評価制度(JIPDEC)
ISMSの認証基準JIS Q 27001:2014(ISO/IEC 27001:2013)により、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準。
必要の原則(Need to Know)
「情報は知る必要がある者にのみ伝え、知る必要のない者には伝えない」という原則であり、CIA(機密性、完全性・可用性)概念の前提となる大原則となっている。
ISO/IEC17799
現在の情報セキュリティマネジメントでよく参照される「Information technology - Security techniques - Code of practice(=実践規範)for information security management(ISO/IEC17799)」という国際標準。BS7799(1995年 英国内規格)が、その元となっている。
ISMS適合性評価制度
ISMSの認証基準JIS Q 27001:2014(ISO/IEC 27001:2013)により、ISMSを確立するための計画段階で情報セキュリティポリシー(情報セキュリティのための経営陣の方向性及び支持を規定)を策定した組織を認証機関が適合性を評価するための基準。
4プライバシーマーク制度(JIPDEC)
JIS Q 15001:2006個人情報保護マネジメントシステム—要求事項に適合して、個人情報について適切な保護措置を講ずる体制を整備・運用している事業者などを認定して、その旨を示すプライバシーマを認定して、その旨を示すプライバシーマークを付与し、事業活動においてプライバシーマークの使用を認める制度。
企業や組織は基本的に(改正)個人情報保護法の下記の各項に基づいて、個人情報保護方針(個人情報ポリシー)をWebなどを通じて表明している。
プライバシーマーク制度と個人情報保護法は、OECD8原則(1980年)を取り込む形でつくられた経緯をもつ。
企業や組織は基本的に、JIS Q 15001:2006、(改正)個人情報保護法に基づいて、個人情報保護方針(プライバシーポリシー)をWebなどを通じて表明している。
とくに、個人情報保護法の下記の各項に由来する表現が多く用いられる。
個人情報保護法
第17条 適正な取得
第18条 取得に対しての利用目的の通知
第23条 第三者提供の制限
コンピテンシーインベントリーとセミナー、試験の構成
要素分類 | CSR | ||
---|---|---|---|
分野 | CSR | ||
コンピテンス | 単に社会的責任ということではなく、社会へ与える影響に責任を持ち、情報セキュリティから考え、ステークホルダからの要求に対して適切な意思決定ができる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | CSR | ||
---|---|---|---|
分野 | 危機管理 | ||
コンピテンス | リスク管理(リスクマネジメント)で将来に備え、危機管理(クライシスマネジメント)でリスクが現実になったとき、マイナスをいかに減らすかを考え準備できる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | CSR | ||
---|---|---|---|
分野 | 法令遵守 | ||
コンピテンス | 単なるコンプライアンスではなく、経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げられる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | マネジメント | ||
---|---|---|---|
分野 | 情報セキュリティ管理 | ||
コンピテンス | リスクを評価し、組織内における内部不正防止ガイドラインに基づいて、情報セキュリティレベルを維持、強化し、またそれを評価できる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | マネジメント | ||
---|---|---|---|
分野 | プロジェクトサービス | ||
コンピテンス | システム監査、リスクアセスメントを計画、実施、評価して、組織にフィードバックできる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | 戦略 | ||
---|---|---|---|
分野 | 情報セキュリティ対策 情報セキュリティ関連法規 | ||
コンピテンス | 情報セキュリティ対策に必要な標準、 制度および情報セキュリティ関連法規の概要を理解し、指揮、構築、評価できる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | 戦略 | ||
---|---|---|---|
分野 | システム戦略 | ||
コンピテンス | 経営戦略に基づいて、全体システム計画や情報化投資計画を策定し、情報セキュリティを包含するビジネスの課題解決に向かうシステム戦略を構築、実施できる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | 技術 | ||
---|---|---|---|
分野 | 情報セキュリティ技術評価 技術要素(情報セキュリティ・ネットワーク) | ||
コンピテンス | 情報セキュリティ技術評価、技術要素(情報セキュリティ・ネットワーク)を理解し、インターネットの脅威やサイバー攻撃に対する備えを構築し、最新情報を収集してアップデートを指揮、構築、評価できる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|
要素分類 | 技術 | ||
---|---|---|---|
分野 | システム構成要素 | ||
コンピテンス | 情報システムの構築から廃棄まで至るライフサイクルを展望した情報セキュリティ施策による、業務に適した情報システムの構築を指揮、構築、評価できる | ||
セミナーテーマ 試験構成キーワード |
| ||
環境変化・動向・直面する脅威 |
|