ISACAの資格 その2

皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。

「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。

 

ブログの第192回目は、このブログの本題になっている GEITについての続きです。

前回の第191回目で、ISACAが認定している資格の話題に入りました。

今回もその続きで、COBIT5フレームワークを発行している、ISACAの認定資格のCISAを見て行きます。

 

ISACAの資格:CISA

ISACAが認定している資格は、2014年8月現在で、以下の4資格です。

 

 ・CISA (Certified Information Systems Auditor)
 ・CISM (Certified Information Security Manager)
 ・CGEIT(Certified in the Governance of Enterprise IT)
 ・CRISC(Certified in Risk and Information Systems Control)

 

日本語での資格名称は、以下の様になっています。

 ・CISA:公認情報システム監査人
 ・CISM:公認情報セキュリティマネージャー
 ・CGEIT:公認ITガバナンス専門家
 ・CRISC:現時点で、日本語名称はありません

 

・CISA:公認情報システム監査人

 

◇資格の権威と特徴

CISAの認定資格は、以下に対する専門家資格としては、最も長い歴史(1981年より)を持ち、世界的に認識されて、普及している資格です。

 ・情報システム監査のコントロール
 ・情報システム監査の保証
 ・セキュリティの専門家

 

CISAは、情報システムの以下に関する高度な知識、技能と経験を有するプロフェッショナルとして、ISACAが認定する国際資格です。

 ・監査
 ・セキュリティ
 ・コントロール

 

情報システム監査に関わる専門家自身による団体(ISACA)が認定しているもので、国家資格ではありませんが、欧米の企業社会では既に広く認知されています。

日本では、約10年前に紹介されて、少しずつ存在が認知されてきています。

毎年決められた継続専門教育(CPE:Continuing Professional Education)方針に従って、3年間で120CPE、1年間で20CPE以上の時間を申請する事で、その資格の維持が認められます。

認定後の維持条件が厳しい事が、専門能力を常にアップデイトしている証明として受け止められて、名前だけではない実践的資格として評価を受けています。

 

◇受験資格

年齢、学歴等の条件は何もありません。

以下の分野で最低5年間、いずれかの実務経験を証明する経歴証明を提出する事が必要となります。

 ・情報システム監査
 ・情報システムコントロール(管理)
 ・情報システム統制
 ・情報システム保証
 ・セキュリティ

 

以下によって、各年数の経験として代替が可能で、最大3年間の免除の適用が可能となります。

 ・情報システムのオペレーション1年:1年
 ・プログラミング経験1年:1年
 ・会計監査経験1年:1年
 ・短大の学位(60~120の学期単位時間 相当):1年
 ・4年生大学の学位(60~120の学期単位時間 相当):2年
 ・以下の関連分野のフルタイムの大学教員としての経験2年:1年
  ・コンピュータ科学
  ・会計学
  ・情報システム監査
  ・など

 

◇ドメイン

CISAに求められる試験のドメイン(領域)は、以下の5つで、出題の割合は()内の%です。

 ・1:情報システム監査のプロセス(14%)
 ・2:ITガバナンスとマネジメント(14%)
 ・3:情報システムの取得、開発、導入(19%)
 ・4:情報システムの運用 、保 守 、サ ポ ート(23%)
 ・5:情報資産の保護(30%)

 

◇各ドメインの意味、タスクおよび知識項目

 

*ドメイン1:情報システム監査のプロセス

IT監査基準に従って、組織における情報システムの保護および管理を支援するために、情報システム監査サービスを提供する事です。

・タスク

 1.1 主要な領域が含まれる事を確実にするために、IT監査基準に従って、リスクベースのIT監査戦略を策定および導入する
 1.2 情報システムが保護・管理されているかどうかを判断するために、特定の監査を計画し、組織にその評価を提供する
 1.3 策定した監査目標を達成するために、IT監査基準に従って、監査を実施する
 1.4 結果を伝えて、必要な場合は修正を行うために、主要なステークホルダーに監査の発見事項の報告および改善勧告を行う
 1.5 経営者によって適切な措置が適時に取られている事を確認するために、フォローアップを実施、あるいは、状況報告書を作成する

 

・知識項目

 1.1 ISACAのIT監査と保証の基準、ガイドライン、およびツールと技法、職業倫理規定、その他の適用基準
 1.2 監査におけるリスクアセスメントの概念、ツールおよび技法
 1.3 コントロール目標、および情報システム関連のコントロール
 1.4 監査計画および監査プロジェクト管理の技法(フォローアップを含む)
 1.5 IT関連を含む基本的な業務プロセス
   (プロセス例:購買、給与、買掛金、売掛金)
 1.6 監査の範囲、監査証拠の収集と保存、および監査の頻度に影響を与える、適用法令および規制
 1.7 監査証拠の収集、保護、および保存に使用される証拠収集技法
   (証拠収集技法例:観察、質問、検査、インタビュー、データ分析)
 1.8 様々なサンプリング方法論

 

*ドメイン2:ITガバナンスとマネジメント

目標を達成し、組織の戦略を支援するために必要とされるリーダーシップ、組織構造、およびプロセスを備えているという保証を提供する事です。

 

・タスク

 2.1 ITに関する意思決定、方向性、パフォーマンスが組織の戦略と目標を支援しているかどうかを判断するために、ITガバナンスの構造の有効性を評価する
 2.2 ITの組織構造および人材(人事)管理が、組織の戦略の目標を支援しているかどうかを判断するために、それらを評価する
 2.3 IT戦略(ITの方向性を含む)、戦略の策定、承認、導入、および維持のプロセスが組織の戦略と目標に整合しているかどうかを判 断するために、それらを評価する
 2.4 組織のIT方針、基準、および手順と、それらの開発、承認、導入、維持、およびモニタリングのプロセスがIT戦略を支援し、法令および規制要求事項を順守しているかどうかを判断するために、それらを評価する
 2.5 品質管理システムが費用対効果の高い方法で、組織の戦略と目標を支援しているかどうかを判断するために、その妥当性を評価する
 2.6 ITに関する管理とコントロールのモニタリングが組織の方針、基準、および手順を順守しているかどうかを判断するために、それらを評価する
   (例: 継続的モニタリング、品質保証[QA])
 2.7 IT資源の投資、活用、割り当ての業務(優先順位決定基準を含む)が、組織の戦略と目標に整合しているかどうかを判断するために、それらを評価する
 2.8 ITに関する契約戦略と方針、および契約管理業務が、組織の戦略や目標を支援しているかどうかを判断するために、それらを評価する
 2.9 組織のIT関連リスクが、適切に管理されているかどうかを判断するために、リスク管理業務を評価する
 2.10 取締役と上級経営者が、ITパフォーマンスについて十分かつ適時な報告を受けているかどうかを判断するために、モニタリングと保証の業務を評価する
 2.11 ITの障害発生期間中に、重要な業務の運営を継続できるかどうか組織の能力を判断するために、組織の事業継続計画を評価する

 

・知識項目

 2.1 ITガバナンス、マネジメント、セキュリティ、およびコントロールフレームワークと、それに関する基準、ガイドライン、および業務
 2.2 組織のためのITの戦略、方針、基準、および手順の目的と、それぞれの重要な要素
 2.3 ITに関連する組織の構造、役割、および責任
 2.4 ITの戦略、方針、基準、および手順の策定、導入、および維持のプロセス
 2.5 組織の技術の方向性およびITアーキテクチャと、それらが長期の戦略的方向性の設定に与える影響
 2.6 組織に影響を与える関連法、規制、および業界標準
 2.7 品質管理システム
 2.8 成熟度モデルの活用
 2.9 プロセス最適化技法
 2.10 IT資源の投資と配分(優先順位決定基準を含む)
    (例:ポートフォリオ管理、価値管理、プロジェクト管理)
 2.11 ITサプライヤーの選定、契約管理、リレーションシップマネジメント、およびパフォーマンスモニタリングプロセス
    ([第三者]外部委託先との関係を含む)
 2.12 企業リスク管理
 2.13 ITパフォーマンスのモニタリングと報告の業務
    (例:バランスド・スコアカード、主要業績評価指標[KPI])
 2.14 事業継続計画(BCP)の実行に使用されるIT人材(人事)管理の業務
 2.15 事業継続計画(BCP)に関連するビジネスインパクト分析(BIA)
 2.16 事業継続計画(BCP)の確立、維持および検証方法に対する基準と手順

 

*ドメイン3:情報システムの取得、開発および導入

情報システムの取得、開発、テスト、および導入の業務が組織の戦略と目標を満たしているという保証を提供する事です。

 

・タスク

 3.1 情報システムの調達、開発、保守、およびその後の廃棄への提案された投資が、ビジネス目標に合致しているかどうかを判断するために、そのビジネスケースを評価する
 3.2 組織に対するリスクを管理しながら、費用対効果の高い方法で、ビジネス要件が実現されるかどうかを判断するために、プロジェクト管理の業務とコントロールを評価する
 3.3 プロジェクトが計画通りに進捗しているか、それが文書化によって適切にサポートされているか、および状況報告が正確であるかを判断するために、レビューを実施する
 3.4 組織の方針、基準、手順、および適用可能な外部の要求事項を順守しているかどうかを判断するために、要件定義、調達、開発、およびテストの各フェーズにおける情報システムのコントロールを評価する
 3.5 プロジェクトの成果物、コントロール、および組織の要件が合致しているかどうかを判断するために、情報システムの導入および本番への移行の準備状況を評価する
 3.6 プロジェクトの成果物、コントロール、および組織の要件が合致しているかどうかを判断するために、情報システムの導入後のレビューを実施する

 

・知識項目
 3.1 利益実現の業務
   (例:フィージビリティスタディ[実現可能性調査]、ビジネスケース、TCO[総所有コスト]、ROI[投資収益率])
 3.2 プロジェクト管理のメカニズム
   (例:運営委員会、プロジェクト監視委員会、プロジェクト管理室)
 3.3 プロジェクト管理のコントロールフレームワーク、業務、およびツール
 3.4 プロジェクトに適用されるリスク管理業務
 3.5 データ、アプリケーション、および技術に関連するITアーキテクチャ
   (例:分散アプリケーション、Webベースアプリケーション、Webサービス、n階層アプリケーション)
 3.6 調達の業務
   (例:ベンダー評価、ベンダー管理、エスクロー)
 3.7 要件分析と要件管理の業務
   (例:要件の検証、トレーサビリティ、ギャップ分析、脆弱性管理、セキュリティ要件)
 3.8 プロジェクトの成功基準とリスク
 3.9 トランザクションやデータの完全性、正確性、妥当性、および承認を保証するコントロール目標と技法
 3.10 システム開発手法とツール、およびそれらの長所、短所
    (例:アジャイル開発業務、プロトタイピング、ラピッドアプリケーション開発[RAD]、オブジェクト指向設計の技法)
 3.11 情報システム開発に関連したテスト手法と業務
 3.12 情報システムの開発に関連した、構成管理およびリリース管理
 3.13 システムの移行、インフラストラクチャの配置業務、データ変換のツール、技法、および手順
 3.14 導入後のレビューの目的と業務
    (例:プロジェクト終了、コントロール導入、利益実現、パフォーマンス測定)

 

*ドメイン4:情報システムの運用、保守およびサポート

情報システムの運用、保守およびサポートが、組織の戦略と目標を満たしているという保証を提供する事です。

 

・タスク

 4.1 組織目標との整合が、継続して維持されているかどうかを判断するために、情報システムの定期的なレビューを実施する
 4.2 社内および外部のサービス提供者のサービスレベルが、定義・管理されているかどうかを判断するために、サービスレベル管理業務を評価する
 4.3 組織が期待するコントロールレベルが、サービス提供者によって順守されているかどうかを判断するために、外部業者管理業務を評価する
 4.4 計画された、および緊急のプロセスが、完了するまで管理されているかどうかを判断するために、運用およびエンドユーザーの手順を評価する
 4.5 情報システムの保守プロセスが、適切に管理され、継続して組織の目標を支援しているかどうかを判断するために、情報システムの保守プロセスを評価する
 4.6 データベースの完全性と最適化を確認するために、データ管理業務を評価する
 4.7 ITサービスが、組織の目標に合致しているかどうかを判断するために、容量および性能監視ツールと技法の有効性を評価する
 4.8 インシデント、問題、エラーが、適時に記録、分析、解決されているかどうかを判断するために、問題管理およびインシデント管理の業務を評価する
 4.9 組織の本番環境に対する計画や緊急の変更が、適切に管理され、文書化されているかどうかを判断するために、変更管理、構成管理、およびリリース管理の業務を評価する
 4.10 処理を再開するために必要な情報が、利用可能かどうかを確認するために、バックアップおよびリストア対策の妥当性を評価する
 4.11 災害発生時に組織の災害復旧計画に基づいて、IT処理能力の復旧が可能であるかどうかを判断するために、組織の災害復旧計画を評価する

 

・知識項目
 4.1 サービスレベル管理業務とサービスレベルアグリーメント(SLA)の構成要素
 4.2 外部業者が、組織の内部統制に準拠しているかどうかをモニタリングする技法
 4.3 計画と緊急のプロセスを管理するための、運用およびエンドユーザーの手順
 4.4 ハードウェアとネットワークの構成要素、システムソフトウェア、およびデータベース管理システムに関連する技術と概念
 4.5 システムインタフェースの完全性を保証するためのコントロール技法
 4.6 ソフトウェアのライセンスおよびインベントリ業務
 4.7 システム高信頼化のツールと技法
   (例:耐障害ハードウェア、単一障害点の排除、クラスタリング)
 4.8 データベース管理業務
 4.9 システム容量計画、およびそれに関連する監視ツールと技法
 4.10 システム性能監視のプロセス、ツール、および技法
    (例:ネットワーク解析、システム利用状況報告、負荷分散)
 4.11 問題管理、およびインシデント管理業務
    (例:ヘルプデスク、エスカレーション手順、追跡管理)
 4.12 本番システムやインフラストラクチャに対する計画と緊急の変更を管理するためのプロセス
    (例:変更管理、構成管理、リリース管理、パッチ管理の業務)
 4.13 データのバックアップ、保存、保守、保持、復元の業務
 4.14 災害復旧に関する規制、法令、契約、および保険の問題
 4.15 災害復旧計画に関連するビジネスインパクト分析(BIA)
 4.16 災害復旧計画の策定と維持
 4.17 代替処理サイトの種類と契約された合意事項のモニタリングに使用される方法
    (例:ホットサイト、ウォームサイト、コールドサイト)
 4.18 災害復旧計画を始動する際に使用されるプロセス
 4.19 災害復旧テストの方法

 

*ドメイン5:情報資産の保護

組織のセキュリティ方針、基準、手順、およびコントロールが、情報資産の機密性、完全性、可用性を確保する保証を提供する事です。

 

・タスク

 5.1 情報セキュリティポリシー、基準、手順の完全性、および一般的に受け入れられている業務との整合性について評価する
 5.2 システム、論理セキュリティコントロールの設計、導入および監視を評価して、情報の機密性、完全性および可用性を検証する
 5.3 データ分類プロセス、手順の設計、導入および監視が組織の方針、基準、手順および該当する外部要件と整合しているかどうかを判断するために、それらを評価する
 5.4 物理的アクセス、環境コントロールの設計、導入および監視を評価し、情報資産が十分に保護されているかどうかを検証する
 5.5 情報資産の保管、検索、移送および廃棄を評価し、情報資産が適切に保護されているかどうかを検証する
   (例:バックアップメディア、遠隔地の保管施設、ハードコピーや印刷データおよびソフトコピーメディア)

 

・知識項目

 5.1 セキュリティ意識向上プログラムを含むセキュリティコントロールの設計、導入、および監視の技法
 5.2 セキュリティインシデントの監視および対応プロセス
   (例:エスカレーション手順、緊急インシデント対応チーム)
 5.3 権限が付与された機能やデータに対してユーザーを個人識別、認証および制限するための論理アクセスコントロール
 5.4 ハードウェア、システムソフトウェア、およびデータベース管理システムに関連するセキュリティコントロール
   (例:アプリケーション、オペレーティングシステム)
 5.5 システムの仮想化に関連した、リスクとコントロール
 5.6 ネットワークセキュリティコントロールの設定、導入、運用および保守
 5.7 ネットワークおよびインターネットセキュリティ機器、プロトコルおよび技法
 5.8 情報システムの攻撃方法と技法
 5.9 検出ツールおよびコントロール技法
   (例:マルウェア、ウィルス検出、スパイウェア)
 5.10 セキュリティのテスト技法
    (例:侵入テスト、脆弱性検査)
 5.11 データ漏洩のリスクとコントロール
 5.12 暗号化関連の技法
 5.13 公開鍵インフラストラクチャ(PKI)の構成要素、および電子署名技法
 5.14 ピアツーピア・コンピューティング、インスタントメッセージング、およびWebベースの技法に関連したリスクとコントロール
    (例:ソーシャルネットワーキング、メッセージボード、ブログ)
 5.15 モバイルおよび無線機器の使用に関連したコントロールとリスク
 5.16 音声通信のセキュリティ
    (例:PBX、VoIP)
 5.17 フォレンジック調査による証拠保全の技法およびプロセス
    (例:IT、プロセス、分析過程の保全管理)
 5.18 データ分類基準および対応手順
 5.19 認可されている設備に対して、ユーザーを個人識別、認証および制限するための物理的アクセスコントロール
 5.20 環境面の保護の為の機器および対応業務
 5.21 機密情報資産の保管、検索、移送および廃棄に用いるプロセスおよび手順

 

ドメインの内容を見ていただければ、ご理解いただけると思いますが、かなり広範囲です。

GEITのPDCAで、主にCとAを担保する役割となっています。

 

以上で、ISACAの認定資格CISAについての説明を終了します。

 

ISACAの資格は、日本では未だに認知度の低い資格ですが、米国のある調査では、給与の高いIT資格ベスト3を独占しています。

以下のURL(Global Knowledge Training LLC. 調査レポート)を参照ください。

https://www.globalknowledge.com/training/generic.asp?pageid=3632

 

少し長くなりましたので、ISACAの認定資格について、説明の途中で終了します。

この続きは、次回以降に、ISACAが発行している資格を1つずつ、詳細に紹介して行きます。

 

最後まで、お付き合いくださいまして、ありがとうございます。

次回以降も、本題のGEITの話題を中心に、ISACAが発行している資格などについても順次お伝えして行きます。

ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。

表現を変えたり、かみ砕いた言葉などで説明して行く予定です。

 

皆さまからの、ご意見・ご感想をお待ちしております。

 

この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。

 

【資格】
・ITコーディネータ
・公認情報システム監査人
 Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
 Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
 Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)

 

■Facebook
https://www.facebook.com/kenichi.motomura.1/

■公式ブログ
https://blog.kazatsukuri.jp/

■Ameblo
https://ameblo.jp/motomuranet/

■Twitter
https://twitter.com/motomuranet/

■YouTube
https://www.youtube.com/user/motomuranet/

■まぐまぐ
https://www.mag2.com/m/0001626008.html