認定資格制度

日本CISO協会認定資格制度について

※ 現在、認定資格制度については、受付を停止しております。

アプローチとしてのCISOキーワード

企業のセキュリティ責任者、および管理者の認識や地位の確立、定着、浸透。最新のIT情報、ITセキュリティ、ITガバナンス、コンプライアンスおよびRM（リスクマネジメント）、事業継続等企業経営に直結する情報の発信。

上記のキーワードにより、次の4つの概念、制度、試験から認定資格制度を組み立てています。

1CSR（企業理念を実現するために実践しているすべての活動）

CSR（Corporate Social Responsibility）

企業や組織が利益を追求するだけでなく（≠企業の社会的責任）、社会へ与える影響に責任をもち、利害関係者（ステークホルダ）からの要求に対して適切な意思決定をするもの。

危機管理

リスク管理（リスクマネジメント）と危機管理（クライシスマネジメント）からなり、前者は常に未来に備え、後者はリスクが現実に起こったとき、マイナスをいかに減らすかを目的とする。

法令遵守

単に法令を守るという意味ではなく（≠コンプライアンス）、業務遂行の際、あるいは一大事に遭遇したときに、その経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げること。

情報セキュリティマネジメントの軸が整った上で、はじめて危機管理体制が確立できる

2情報セキュリティマネジメント試験（経産省）

経済産業省は、国家試験「情報処理技術者試験」の新区分として「情報セキュリティマネジメント試験」を創設し、2016年4月に第1回の試験を実施した。

技術者というよりも、企業や組織における活動や一般生活で、ICT（Information&Communication Technology）を利用する際に必要な情報セキュリティの知識を身につけ、実際に活用したり、それによってまわりの人々を助ける人材がもっと必要だというという考えのもとに創られている。

重点分野

マネジメントに準じる分野

ストラテジに準じる分野

テクノロジーに準じる分野

3ISMS適合性評価制度（JIPDEC）

ISMSの認証基準JIS Q 27001:2014（ISO/IEC 27001:2013）により､第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準｡

必要の原則（Need to Know）

「情報は知る必要がある者にのみ伝え、知る必要のない者には伝えない」という原則であり、CIA（機密性、完全性・可用性）概念の前提となる大原則となっている。

ISO/IEC17799

現在の情報セキュリティマネジメントでよく参照される「Information technology - Security techniques - Code of practice（=実践規範）for information security management（ISO/IEC17799）」という国際標準。BS7799（1995年 英国内規格）が、その元となっている。

ISMS適合性評価制度

ISMSの認証基準JIS Q 27001：2014（ISO/IEC 27001：2013）により、ISMSを確立するための計画段階で情報セキュリティポリシー（情報セキュリティのための経営陣の方向性及び支持を規定）を策定した組織を認証機関が適合性を評価するための基準。

4プライバシーマーク制度（JIPDEC）

JIS Q 15001:2006個人情報保護マネジメントシステム—要求事項に適合して、個人情報について適切な保護措置を講ずる体制を整備・運用している事業者などを認定して、その旨を示すプライバシーマを認定して、その旨を示すプライバシーマークを付与し、事業活動においてプライバシーマークの使用を認める制度。

企業や組織は基本的に（改正）個人情報保護法の下記の各項に基づいて、個人情報保護方針（個人情報ポリシー）をWebなどを通じて表明している。

プライバシーマーク制度と個人情報保護法は、OECD8原則（1980年）を取り込む形でつくられた経緯をもつ。

企業や組織は基本的に、JIS Q 15001:2006、（改正）個人情報保護法に基づいて、個人情報保護方針（プライバシーポリシー）をWebなどを通じて表明している。
とくに、個人情報保護法の下記の各項に由来する表現が多く用いられる。

個人情報保護法

第17条　適正な取得
第18条　取得に対しての利用目的の通知
第23条　第三者提供の制限

コンピテンシーインベントリーとセミナー、試験の構成