皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第209回目は、このブログの本題になっている GEITについての続きです。
第191回目で、ISACAが認定している資格の話題に入りました。
今回もその続きで、COBIT5フレームワークを発行している、ISACAの認定資格CRISCについて見て行きます。
ISACAの資格:CRISC
ISACAが認定している資格は、2014年8月現在で、以下の4資格です。
・CISA (Certified Information Systems Auditor)
・CISM (Certified Information Security Manager)
・CGEIT(Certified in the Governance of Enterprise IT)
・CRISC(Certified in Risk and Information Systems Control)
日本語での資格名称は、以下の様になっています。
・CISA:公認情報システム監査人
・CISM:公認情報セキュリティマネージャー
・CGEIT:公認ITガバナンス専門家
・CRISC:現時点で、日本語名称はありません
・CRISC:Certified in Risk and Information Systems Control
◇資格の権威と特徴
CRISCの認定資格は、2010年にISACAでは、前例のない新しいタイプの資格として創設されました。
その理由として、以下の様な環境変化に対する責務を担って行く、専門家の能力を認定する必要があったからです。
※これからのITプロフェッショナルは、リスクマネジメントのノウハウに精通し、企業戦略策定上の重要なパートナーとして積極的な姿勢で問題解決に参画して行く事が望まれている。
ビジネスおよび、技術上のリスクマネジメントや、情報システムコントロールの設計、導入、監視、保守の専門家を認知します。
毎年決められた継続専門教育(CPE:Continuing Professional Education)方針に従って、3年間で120CPE、1年間で20CPE以上の時間を申請する事で、その資格の維持が認められます。
認定後の維持条件が厳しい事が、専門能力を常にアップデイトしている証明として受け止められて、名前だけではない実践的資格として評価を受けています。
◇受験資格(認定条件)
3つ以上のCRISCドメインに携わってきた、累積的に3年以上の実務経験を証明する経歴証明を提出する事が必要となります。
適用可能な免除期間や代替条件は、ありません。
◇ドメイン
CRISCに求められる試験のドメイン(領域)は、以下の5つで、出題の割合は()内の%です。
・1:リスクの識別、アセスメント、評価(31%)
・2:リスク対応(17%)
・3:リスク監視(17%)
・4:情報システムコントロールの設計および導入(17%)
・5:情報システムコントロールの監視および保守(18%)
ここで、CGEITに続き、またもお詫びです。
この文書を校正していて、再度確認のためISACA国際本部のWebサイトを見たところ、CRISCのドメインやそれに伴うタスクと知識項目が、2015年より大きく変更されると掲載されています。
今回は、予告での参考として、変更点の概要情報だけをお伝えして、新しい資料を入手後に十分理解してから、改めて最新の資格案内をお伝えします。
◇ドメイン
新しいCRISCに求められる試験のドメイン(領域)は、以下の4つに変更されて、出題の割合は()内の%です。
・1:リスク識別(27%)
・2:リスク評価(28%)
・3:リスク対応および軽減(23%)
・4:リスクコントロール・モニタリング、および報告(22%)
この新しい職務領域は、ITリスクの識別、評価、対応(レスポンス)、軽減および、モニタリングで、行なわれる職務を表わすタスクと知識項目から構成されています。
まだ詳細に見ていないので、理解が十分ではありませんが、以下の様に構成が大きく変更されています。
今までは、CRISCを含むどの資格も、各ドメイン毎にタスクと知識項目が記載されていました。
新しい、CRISCのドメインの記載は、各ドメイン毎にタスクは書かれていますが、知識項目についてはドメイン毎ではなく、全てがまとめられて、列挙する形で定義されています。
以前から、各ドメイン毎に知識項目が階層的に分割される事に、違和感を持っていたのですが、今回の様に各ドメインに必要な全てを横断する知識項目としてもらった方が、しっくりきます。
今後、他の資格にもこの知識項目の定義方法(ドメイン毎でない)が、採用されるかもしれません。
以上で、ISACAの認定資格CRISCについて、中途半端ですが、説明を終了します。
ISACAの資格は、日本では未だに認知度の低い資格ですが、米国のある調査では、給与の高いIT資格ベスト3を独占しています。
以下のURL(Global Knowledge Training LLC. 調査レポート)を参照ください。
https://www.globalknowledge.com/training/generic.asp?pageid=3632
少し長くなりましたので、ISACAの認定資格について、説明の途中で終了します。
この続きは、次回以降に少し間を置いて、ISACAが発行している資格のCGEITとCRISCの最新版での続きを、詳細に紹介して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題を中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/