認定資格制度

日本CISO協会認定資格制度について

アプローチとしてのCISOキーワード

企業のセキュリティ責任者、および管理者の認識や地位の確立、定着、浸透。最新のIT情報、ITセキュリティ、ITガバナンス、コンプライアンスおよびRM(リスクマネジメント)、事業継続等企業経営に直結する情報の発信。

上記のキーワードにより、次の4つの概念、制度、試験から認定資格制度を組み立てています。

1
CSR
2
情報セキュリティマネジメント試験
3
ISMS適合性評価制度
4
プライバシーマーク制度
日本CISO協会
認定資格制度

1CSR(企業理念を実現するために実践しているすべての活動)

CSR(Corporate Social Responsibility)

企業や組織が利益を追求するだけでなく(≠企業の社会的責任)、社会へ与える影響に責任をもち、利害関係者(ステークホルダ)からの要求に対して適切な意思決定をするもの。

危機管理

リスク管理(リスクマネジメント)と危機管理(クライシスマネジメント)からなり、前者は常に未来に備え、後者はリスクが現実に起こったとき、マイナスをいかに減らすかを目的とする。

法令遵守

単に法令を守るという意味ではなく(≠コンプライアンス)、業務遂行の際、あるいは一大事に遭遇したときに、その経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げること。

CSR(企業理念を実現するために実践しているすべての活動)
情報セキュリティマネジメントの軸が整った上で、はじめて危機管理体制が確立できる

2情報セキュリティマネジメント試験(経産省)

経済産業省は、国家試験「情報処理技術者試験」の新区分として「情報セキュリティマネジメント試験」を創設し、2016年4月に第1回の試験を実施した。

技術者というよりも、企業や組織における活動や一般生活で、ICT(Information&Communication Technology)を利用する際に必要な情報セキュリティの知識を身につけ、実際に活用したり、それによってまわりの人々を助ける人材がもっと必要だというという考えのもとに創られている。

重点分野

分野キーワード
マネジメント
情報セキュリティ管理・対策
  • リスクマネジメント
  • クライシスマネジメント
  • SLA
  • システム監査
  • プロジェクトマネジメント
  • 事業継続計画(BCP)
ストラテジー
情報セキュリティ標準・関連法規
情報セキュリティ戦略
  • CSR
  • システム戦略
  • 内部不正防止ガイドライン
  • OECDプライバシーガイドライン
  • 個人情報保護法
  • 電子計算機損壊等業務妨害(刑法)
  • 特定電子メール送信適正法
  • 不正アクセス禁止法
  • 不正競争防止法   など
テクノロジー
情報セキュリティ技術・評価
  • IDS
  • SQLインジェクション
  • マルウェア対策
  • ディジタルフォレンジックス
  • 2要素認証
  • クロスサイトクリプティング
  • 認証局(CA)
  • バッドア
  • ポートスキャン   など

マネジメントに準じる分野

大分類プロジェクトマネジメント
中分類
  • プロジェクトマネジメント
テーマ
  • ステートメントホルダ管理
  • リスクアセスメント
環境変化・動向・直面する脅威組織内における内部不正防止ガイドライン
大分類サービスマネジメント
中分類
  • サービスマネジメント
  • システム監査
テーマ
  • サービスマネジメントサービスレベル合意書(SLA)
  • システム監査
環境変化・動向・直面する脅威
  • SLA
  • サービスデスクの利用
  • システム監査、内部統制

ストラテジに準じる分野

大分類企業と法務
中分類
  • 法務
  • 企業活動
テーマ
  • 関連法規の制定・改正への対応・内部不正の防止
環境変化・動向・直面する脅威
  • 組織内における内部不正防止ガイドライン
  • ISO/IEC2700規格群(ISMS整合性評価制度)
  • JISQ2700シリーズ
  • JISQ15001プライバシーマーク制度
  • マイナンバー法
  • 改定個人情報保護法
  • 2013年乗降履歴情報販売事例
  • 2014年通信教育企業顧客情報流出事例
大分類システム戦略
中分類
  • システム戦略
  • システム企画
テーマ
  • 情報資産管理
  • リスクマネジメント
環境変化・動向・直面する脅威
  • PMBOK(プロジェクトマネージャ)の知識
  • 管理体系
  • 情報セキュリティポリシー
  • プライバシーポリシー

テクノロジーに準じる分野

大分類技術要素
中分類
  • セキュリティ
  • データベース
  • ネットワーク
テーマ
  • 標的型攻撃対策
  • クラウドサービスの安全利用
環境変化・動向・直面する脅威
  • 組織内における内部不正防止ガイドライン
  • 2017年 エストニアサイバー攻撃事件
  • 2015年 仏TV5モンドサイバー攻撃
  • 2017年 ランサムウェアサイバー攻撃   など
大分類コンピュータシステム
中分類
  • システム構成
テーマ
  • システムの二重化
  • バックアップ
  • BCP、UPS
環境変化・動向・直面する脅威2011年 東日本大震災   など

3ISMS適合性評価制度(JIPDEC)

ISMSの認証基準JIS Q 27001:2014(ISO/IEC 27001:2013)により、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準。

ISMS適合性評価制度

必要の原則(Need to Know)

「情報は知る必要がある者にのみ伝え、知る必要のない者には伝えない」という原則であり、CIA(機密性、完全性・可用性)概念の前提となる大原則となっている。

ISO/IEC17799

現在の情報セキュリティマネジメントでよく参照される「Information technology - Security techniques - Code of practice(=実践規範)for information security management(ISO/IEC17799)」という国際標準。BS7799(1995年 英国内規格)が、その元となっている。

ISMS適合性評価制度

ISMSの認証基準JIS Q 27001:2014(ISO/IEC 27001:2013)により、ISMSを確立するための計画段階で情報セキュリティポリシー(情報セキュリティのための経営陣の方向性及び支持を規定)を策定した組織を認証機関が適合性を評価するための基準。

4プライバシーマーク制度(JIPDEC)

JIS Q 15001:2006個人情報保護マネジメントシステム—要求事項に適合して、個人情報について適切な保護措置を講ずる体制を整備・運用している事業者などを認定して、その旨を示すプライバシーマを認定して、その旨を示すプライバシーマークを付与し、事業活動においてプライバシーマークの使用を認める制度。

企業や組織は基本的に(改正)個人情報保護法の下記の各項に基づいて、個人情報保護方針(個人情報ポリシー)をWebなどを通じて表明している。

プライバシーマーク制度と個人情報保護法は、OECD8原則(1980年)を取り込む形でつくられた経緯をもつ。

企業や組織は基本的に、JIS Q 15001:2006、(改正)個人情報保護法に基づいて、個人情報保護方針(プライバシーポリシー)をWebなどを通じて表明している。
とくに、個人情報保護法の下記の各項に由来する表現が多く用いられる。

個人情報保護法

第17条 適正な取得
第18条 取得に対しての利用目的の通知
第23条 第三者提供の制限

コンピテンシーインベントリーとセミナー、試験の構成

要素分類CSR
分野CSR
コンピテンス単に社会的責任ということではなく、社会へ与える影響に責任を持ち、情報セキュリティから考え、ステークホルダからの要求に対して適切な意思決定ができる
セミナーテーマ
試験構成キーワード
  • CSR
  • サステナビリティ
環境変化・動向・直面する脅威
  • 企業秘密・個人情報の漏洩などの予期せぬ損害
要素分類CSR
分野危機管理
コンピテンスリスク管理(リスクマネジメント)で将来に備え、危機管理(クライシスマネジメント)でリスクが現実になったとき、マイナスをいかに減らすかを考え準備できる
セミナーテーマ
試験構成キーワード
  • リスクマネジメント
  • クライシスマネジメント
環境変化・動向・直面する脅威
  • リスクへの対応と管理規程
  • クライシスへの対応と管理規程
  • マスコミ対応
要素分類CSR
分野法令遵守
コンピテンス単なるコンプライアンスではなく、経営理念や行動指針・行動規範に沿った行動をとれるように整備し、維持発展させる体制を作り上げられる
セミナーテーマ
試験構成キーワード
  • 社会的要請に応える
  • コンプライアンス体制
環境変化・動向・直面する脅威
  • 客観的な安全性
  • 消費者、利用者などの安全
  • 事業や業務、情報セキュリティに関する情報開示・説明責任
要素分類マネジメント
分野情報セキュリティ管理
コンピテンスリスクを評価し、組織内における内部不正防止ガイドラインに基づいて、情報セキュリティレベルを維持、強化し、またそれを評価できる
セミナーテーマ
試験構成キーワード
  • 内部不正防止ガイドライン
環境変化・動向・直面する脅威
  • リスクの評価
  • 組織内における内部不正防止ガイドライン
要素分類マネジメント
分野プロジェクトサービス
コンピテンスシステム監査、リスクアセスメントを計画、実施、評価して、組織にフィードバックできる
セミナーテーマ
試験構成キーワード
  • システム監査
  • リスクアセスメント
  • 内部統制
  • BCP
環境変化・動向・直面する脅威
  • ITガバナンス
  • コンプライアンス確保に貢献できる監査
要素分類戦略
分野情報セキュリティ対策
情報セキュリティ関連法規
コンピテンス情報セキュリティ対策に必要な標準、
制度および情報セキュリティ関連法規の概要を理解し、指揮、構築、評価できる
セミナーテーマ
試験構成キーワード
  • 個人情報保護法
  • 不正アクセス禁止法
  • 不正競争防止法
  • マイナンバー法
環境変化・動向・直面する脅威
  • ISO/IEC27000規格群(ISMS整合性評価制度)
  • JIS Q 27000シリーズ
  • JIS Q 15001プライバシーマーク制度
要素分類戦略
分野システム戦略
コンピテンス経営戦略に基づいて、全体システム計画や情報化投資計画を策定し、情報セキュリティを包含するビジネスの課題解決に向かうシステム戦略を構築、実施できる
セミナーテーマ
試験構成キーワード
  • システム化計画
  • 情報資産管理
  • 全体最適化計画
環境変化・動向・直面する脅威
  • 情報セキュリティポリシー
  • プライバシーポリシー
要素分類技術
分野情報セキュリティ技術評価
技術要素(情報セキュリティ・ネットワーク)
コンピテンス情報セキュリティ技術評価、技術要素(情報セキュリティ・ネットワーク)を理解し、インターネットの脅威やサイバー攻撃に対する備えを構築し、最新情報を収集してアップデートを指揮、構築、評価できる
セミナーテーマ
試験構成キーワード
  • クラウドサービスの安全利用
  • 標的型攻撃
  • サイバー攻撃
環境変化・動向・直面する脅威
  • 2007年 エストニアサイバー攻撃事件
  • 2015年 仏TV5モンドサイバー攻撃事件など
  • 2017年 ランサムウェア攻撃
  • 2019年 仮想通貨流失
要素分類技術
分野システム構成要素
コンピテンス情報システムの構築から廃棄まで至るライフサイクルを展望した情報セキュリティ施策による、業務に適した情報システムの構築を指揮、構築、評価できる
セミナーテーマ
試験構成キーワード
  • システムの2重化
  • バックアップ
  • 耐災害対策
環境変化・動向・直面する脅威
  • 2011年 東日本大震災など