ISACAの資格 その3

皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。

「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。

 

ブログの第198回目は、このブログの本題になっている GEITについての続きです。

第191回目で、ISACAが認定している資格の話題に入りました。

今回もその続きで、COBIT5フレームワークを発行している、ISACAの認定資格のCISMを見て行きます。

 

ISACAの資格:CISM

ISACAが認定している資格は、2014年8月現在で、以下の4資格です。

 

 ・CISA (Certified Information Systems Auditor)
 ・CISM (Certified Information Security Manager)
 ・CGEIT(Certified in the Governance of Enterprise IT)
 ・CRISC(Certified in Risk and Information Systems Control)

 

日本語での資格名称は、以下の様になっています。

 ・CISA:公認情報システム監査人
 ・CISM:公認情報セキュリティマネージャー
 ・CGEIT:公認ITガバナンス専門家
 ・CRISC:現時点で、日本語名称はありません

 

・CISM:公認情報セキュリティマネージャー

 

◇資格の権威と特徴

CISMは、マネージメントレベルの情報セキュリティの国際的資格です。

ISACAにより、2002年に資格制度が創設され、2003年度より試験が開始されています。

 

ISACAは、CISM資格創設に当り、以下の観点を考慮しています。

 ・情報セキュリティマネージャーに特化した資格として設計
 ・情報セキュリティマネージャーの実際の業務分析を元にした、基準と試験問題を開発
 ・資格認定の前提として、情報セキュリティマネージメントとしての経験も必要

 

CISM資格は、企業・団体等の情報セキュリティプログラムに係って、マネージメント、設計、監督を行う、以下のプロフェッショナルの方々にフォーカスしています。

 ・セキュリティマネージャー(Security managers)
 ・セキュリティ担当役員(Security directors)
 ・セキュリティ担当役職者(Security officers)
 ・セキュリティコンサルタント(Security consultants)

 

マネジメントに焦点を当てたCISM資格は、国際的なセキュリティ慣行を促進して、以下の専門家を認知します。

 ・企業の情報セキュリティ管理
 ・企業の情報セキュリティ設計
 ・企業の情報セキュリティ監督

 

毎年決められた継続専門教育(CPE:Continuing Professional Education)方針に従って、3年間で120CPE、1年間で20CPE以上の時間を申請する事で、その資格の維持が認められます。

認定後の維持条件が厳しい事が、専門能力を常にアップデイトしている証明として受け止められて、名前だけではない実践的資格として評価を受けています。

 

◇受験資格

以下の分野で最低5年間、いずれかの実務経験を証明する経歴証明を提出する事が必要となります。

 ・情報セキュリティ管理経験
 ・一般的な情報セキュリティ経験

 

以下によって、各年数の経験として代替が可能で、最大2年間の免除の適用が可能となります。

 ・有効な状態にある認定資格:2年
 ・情報セキュリティまたは、以下の関連分野での修士以上の学位:2年
  ・ビジネス管理
  ・情報システム
  ・情報保証
  ・など
 ・情報システム管理サービス:1年
 ・以下の情報セキュリティ以外でのセキュリティ管理経験:1年
  ・物理的セキュリティ
  ・人事セキュリティ
  ・リスク管理
  ・調査管理
  ・など
 ・スキルベースのセキュリティ認定:1年
 ・モデルカリキュラムに沿った機関でのセキュリティ管理プログラムの修了:1年

 

◇ドメイン

CISMに求められる試験のドメイン(領域)は、以下の4つで、出題の割合は()内の%です。

 ・1:情報セキュリティのガバナンス(24%)
 ・2:情報リスクの管理とコンプライアンス(33%)
 ・3:情報セキュリティプログラムの開発と管理(25%)
 ・4:情報セキュリティのインシデントの管理(18%)

 

◇各ドメインの意味、タスクおよび知識項目

 

*ドメイン1:情報セキュリティのガバナンス

情報セキュリティガバナンスのフレームワークと支持プロセスを確立、維持して、以下を実現する事です。

 ・確実に情報セキュリティ戦略が組織の目標と目的と調和する
 ・情報リスクが適切に管理される
 ・プログラム・リソースが責任を持って管理される

 

・タスク

 1.1 組織の目標や目的と調和するように、情報セキュリティ戦略を確立、維持して、情報セキュリティプログラムの確立と継続的管理を指導する
 1.2 情報セキュリティガバナンスのフレームワークを確立、維持して、情報セキュリティ戦略を支援する活動を指導する
 1.3 情報セキュリティガバナンスを企業ガバナンスに組み込む事で、組織の目標と目的が情報セキュリティプログラムによって確実に支援されるようにする
 1.4 情報セキュリティ方針を確立、維持して、経営陣の指示を伝達する事で、以下の策定を指導する
   ・基準
   ・手順
   ・ガイドライン
 1.5 情報セキュリティへの投資を支援する、ビジネスケースを開発する
 1.6 組織に対する内部的および外部的影響を把握して、これらの要素が確実に情報セキュリティ戦略の対象項目になるようにする
   (影響例:技術、ビジネス環境、リスク許容度、所在地、法令や規制の要件)
 1.7 上位経営陣のコミットメント、および利害関係者からの支援を得て、情報セキュリティ戦略の実施に成功する可能性を最大限に高める
 1.8 情報セキュリティの役割と責任を規定し、組織全体に伝達して、明確な説明責任と権限のラインを確立する
 1.9 測定基準について、以下を行って、情報セキュリティ戦略の有効性に関する正確な情報を経営陣に提供する
   (測定基準:重要目標達成指標[KGI]、重要業績評価指標[KPI]、重要リスク評価指標[KRI]など)
   ・確立
   ・監視
   ・評価
   ・報告

 

・知識項目

 1.1 情報セキュリティ戦略を策定する方法
 1.2 情報セキュリティと事業の以下について、その間の関係
   ・目標
   ・目的
   ・機能
   ・プロセス
   ・実務
 1.3 情報セキュリティガバナンスのフレームワークを実現する方法
 1.4 ガバナンスの基本的概念と情報セキュリティとの関係
 1.5 情報セキュリティガバナンスを企業ガバナンスに組み込む方法
 1.6 情報セキュリティのガバナンスと戦略策定に関連した以下
   ・国際的に認知された標準
   ・フレームワーク
   ・ベストプラクティス
 1.7 情報セキュリティ方針を策定する方法
 1.8 ビジネスケースを開発する方法
 1.9 戦略的予算計画および報告方法
 1.10 組織に対する内部的および外部的影響が、情報セキュリティ戦略に影響を及ぼす方法
    (影響例:技術、ビジネス環境、リスク許容度、所在地、法令や規制の要件)
 1.11 情報セキュリティについて経営陣上層部のコミットメント、および利害関係者からの支援を得る方法
 1.12 情報セキュリティ管理の役割と責任
 1.13 組織構造と権限のライン
 1.14 報告と伝達の経路を組織全体に新規に確立するか、既存の経路を活用する方法
 1.15 測定基準の選択、実施、および解釈を行う方法
    (測定基準:重要目標達成指標[KGI]、重要業績評価指標[KPI]、重要リスク評価指標[KRI]など)

 

*ドメイン2:情報リスクの管理とコンプライアンス

情報リスクを許容できるレベルまで管理して、組織の事業要件とコンプライアンス要件を満たす事です。

 

・タスク

 2.1 情報資産のランク付けのプロセスを確立、維持して、資産保護の手段が事業価値に確実に比例するようにする
 2.2 以下を把握して、不遵守のリスクを許容できるレベルまで管理する
   ・法令
   ・規制
   ・組織
   ・その他の該当する要件
 2.3 以下の評価と分析が、確実に定期的かつ一貫して実行されて、組織の情報に対するリスクを把握できるようにする
   ・リスク評価
   ・脆弱性評価
   ・脅威分析
 2.4 適切なリスク対応オプションを判断して、リスクを許容できるレベルまで管理する
 2.5 情報セキュリティコントロールを評価して、それらが適切でありリスクを許容できるレベルにまで効果的に低減するかどうかを判断する
 2.6 現在のリスクレベルと目標レベルとのギャップを把握して、リスクを許容できるレベルまで管理する
 2.7 情報リスク管理を事業とITの各プロセスに組み込んで、一貫性があり包括的な情報リスク管理プロセスを組織全体に推進する
   (各プロセス:開発、調達、プロジェクト管理、合併・買収など)
 2.8 既存のリスクを監視して、変化を確実に把握し適切に管理する
 2.9 情報リスクにおける不遵守やその他の変化について該当する経営陣に報告して、リスク管理の意思決定プロセスを支援する

 

・知識項目

 2.1 事業目的に一致する情報資産のランク付けモデルを確立するための方法
 2.2 情報の資産とリスクの責任と所有権を割り当てるために使用される方法
 2.3 有害な事象が、ビジネスに及ぼす影響を評価するための方法
 2.4 情報資産の評価方法
 2.5 情報セキュリティに関連する法令、規制、組織、およびその他の要件
 2.6 新たな情報セキュリティ上の脅威と脆弱性に関して、評判が良く、信頼できる時宜にかなった情報源
 2.7 リスクの再評価と情報セキュリティ・プログラム要素について、変更が必要になる可能性のある事象
 2.8 情報の脅威、脆弱性、および発生度とそれらの進展性
 2.9 リスクの評価と分析の方法論
 2.10 リスクの優先度設定に使用される方法
 2.11 リスクの報告要件
    (例:頻度、対象読者、項目)
 2.12 リスクの監視に使用される方法
 2.13 リスク対応戦略とその適用方法
 2.14 コントロール・ベースラインモデリング、およびリスクを基準とする評価と同モデリングとの関係
 2.15 情報セキュリティのコントロールと対策、およびそれらの有効性と効率の分析方法
 2.16 情報セキュリティに関連するギャップ分析法
 2.17 リスク管理を事業とITプロセスに組み込むための手法
 2.18 コンプライアンス報告のプロセスと要件
 2.19 リスク対応オプションを評価するための費用対効果分析

 

*ドメイン3:情報セキュリティプログラムの開発と管理

情報セキュリティ戦略と調和する様に、情報セキュリティプログラムを確立し、管理する事です。

 

・タスク

 3.1 情報セキュリティ戦略と調和するよう情報セキュリティプログラムを確立し維持する
 3.2 情報セキュリティプログラムとその他のビジネス機能との間で整合性を確実に取って、ビジネスプロセスへの組み込みを支援する
   (その他のビジネス機能:人事[HR]、経理、調達、ITなど)
 3.3 内部と外部のリソースの要件の把握、取得、管理、および定義を行って、情報セキュリティプログラムを実行する
 3.4 情報セキュリティアーキテクチャを確立、維持して、情報セキュリティプログラムを実行する
   (情報セキュリティアーキテクチャ:人材、プロセス、技術)
 3.5 組織の情報セキュリティについて、以下の確立、伝達、および維持を行って、情報セキュリティ方針の遵守を支援し指導する
   ・基準
   ・手順
   ・ガイドライン
   ・他の文書
 3.6 情報セキュリティの周知と研修のためのプログラムを確立、維持して、セキュリティで保護された環境と効果的なセキュリティ文化を推進する
 3.7 情報セキュリティ要件を組織の各種プロセスに組み込んで、組織のセキュリティベースラインを維持する
   (各種プロセス:変更コントロール、合併および買収、開発、事業継続、災害復旧など)
 3.8 情報セキュリティ要件を第三者団体の契約と活動に組み込んで、組織のセキュリティベースラインを維持する
   (第三者団体:合弁会社、委託業者、ビジネス・パートナー、顧客など)
 3.9 プログラムの管理と運用上の測定基準について、以下を行って、情報セキュリティプログラムの有効性と効率を評価する
   ・確立
   ・監視
   ・定期的な報告

 

・知識項目
 3.1 情報セキュリティプログラムの要件と他のビジネス機能の要件を合致させる方法
 3.2 内部と外部のリソースの要件について、以下を行うための方法
   ・把握
   ・取得
   ・管理
   ・定義
 3.3 情報セキュリティ技術、最近の動向、および根底にある概念
   (最近の動向:クラウンドコンピューティング、モバイルコンピューティングなど)
 3.4 情報セキュリティコントロールを設計する方法
 3.5 情報セキュリティアークテクチャー、およびそれらを適用する方法
   (情報セキュリティアークテクチャー:人材、プロセス、技術)
 3.6 情報セキュリティの以下を策定する方法
   ・基準
   ・手順
   ・ガイドライン
 3.7 情報セキュリティの以下を実施し伝達する方法
   ・方針
   ・基準
   ・手順
   ・ガイドライン
 3.8 効果的な情報セキュリティの周知と研修のプログラムを確立、維持するための方法
 3.9 情報セキュリティ要件を組織の各種プロセスに組み込む方法
 3.10 情報セキュリティ要件を契約、および第三者団体管理プロセスに組み込むための方法
 3.11 情報セキュリティの運用上で、以下を行うための方法
    ・測定基準の設計
    ・実施
    ・報告
 3.12 情報セキュリティコントロールの有効性、および適用性をテストする方法

 

*ドメイン4:情報セキュリティのインシデントの管理

情報セキュリティのインシデントに対して、以下を行う能力の計画、確立、および管理を行って、ビジネスへの影響を最小限にとどめる事です。

 ・検知
 ・調査
 ・対応
 ・復旧

 

・タスク

 4.1 情報セキュリティインシデントの組織内での定義と重大度の序列を確立、維持して、インシデントを正確に把握し対応できるようにする
 4.2 インシデント対応計画を確立、維持して、情報セキュリティのインシデントに効果的かつ即座に対応できるようにする
 4.3 各種プロセスを開発、実施して、情報セキュリティのインシデントを即座に把握できるようにする
 4.4 情報セキュリティのインシデントを調査し記録するためのプロセスを確立、維持して、法令、規制、および組織の要件に準拠しながら、適切に対応し原因を究明できるようにする
 4.5 インシデントのエスカレーションと通知のプロセスを確立、維持して、該当する利害関係者がインシデント対応管理に確実に参加できるようにする
 4.6 情報セキュリティインシデントに即座に効果的に対応するチームの編成、訓練、および準備を行う
 4.7 インシデント対応計画を定期的にテストし見直して、情報セキュリティインシデントに効果的に対応し、対応能力を向上できるようにする
 4.8 コミュニケーションの計画とプロセスを確立、維持して、内部と外部の主体とのコミュニケーションを管理する
 4.9 以下を実現する
   ・事後レビューを実施
   ・情報セキュリティのインシデントの根本原因を特定
   ・是正処置を策定
   ・リスクを再評価
   ・対応の有効性を評価
   ・適切な対策を実施
 4.10 以下の計画間の統合を確立、維持する
    ・インシデント対応計画
    ・災害復旧計画
    ・事業継続計画

 

・知識項目
 4.1 インシデント対応計画の要素
 4.2 インシデント管理の概念と実務
 4.3 事業継続性計画(BCP)と災害復旧計画(DRP)について、およびそれらとインシデント対応計画との関係
 4.4 インシデント分類法
 4.5 損害抑制法
 4.6 通知とエスカレーションのプロセス
 4.7 情報セキュリティインシデントの特定および管理における役割と責任
 4.8 インシデント対応チームで十分に備えておく必要があるツールや機器の種類または供給源
 4.9 証拠の収集、保存、および提出のためのフォレンジックの要件と能力
   (フォレンジックの要件と能力:証拠の許容性、品質、完全性、分析過程の管理など)
 4.10 内部と外部のインシデント報告の要件と手順
 4.11 根本原因の特定と是正処置の決定を行うための事後レビュー実務および調査方法
 4.12 情報セキュリティインシデントによって生じる損害、費用、および他のビジネスへの影響を定量化する技術
 4.13 情報セキュリティイベントの検知、ログ作成、および分析を行う技術とプロセス
 4.14 情報セキュリティインシデントの調査に使用できる、内部と外部のリソース

 

ドメインの内容を見ていただければ、ご理解いただけると思いますが、情報セキュリティに関して、最上位からその実現とPDCAまで、かなり深く広範囲です。

GEITの情報セキュリティに関する部分に特化して、全てを網羅しています。

 

以上で、ISACAの認定資格CISMについての説明を終了します。

 

ISACAの資格は、日本では未だに認知度の低い資格ですが、米国のある調査では、給与の高いIT資格ベスト3を独占しています。

以下のURL(Global Knowledge Training LLC. 調査レポート)を参照ください。

https://www.globalknowledge.com/training/generic.asp?pageid=3632

 

少し長くなりましたので、ISACAの認定資格について、説明の途中で終了します。

この続きは、次回以降に、ISACAが発行している資格を1つずつ、詳細に紹介して行きます。

 

最後まで、お付き合いくださいまして、ありがとうございます。

次回以降も、本題のGEITの話題を中心に、ISACAが発行している資格などについても順次お伝えして行きます。

ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。

表現を変えたり、かみ砕いた言葉などで説明して行く予定です。

 

皆さまからの、ご意見・ご感想をお待ちしております。

 

この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。

 

【資格】
・ITコーディネータ
・公認情報システム監査人
 Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
 Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
 Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)

 

■Facebook
https://www.facebook.com/kenichi.motomura.1/

■公式ブログ
https://blog.kazatsukuri.jp/

■Ameblo
https://ameblo.jp/motomuranet/

■Twitter
https://twitter.com/motomuranet/

■YouTube
https://www.youtube.com/user/motomuranet/

■まぐまぐ
https://www.mag2.com/m/0001626008.html