.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • 国家資格「情報処理安全確保支援士(登録セキスぺ)」
  • 従来の「情報セキュリティスペシャリスト」を
    登録・更新制にし、登録する・しないを選択可能。

IPA試験の略号

恐らく、SC : SeCurity?なんだろうなと。

動機

サービス開発の認証基盤開発を行うため。

メリット

  • メリット
    • 国家資格の肩書が持てる/名乗れる。
    • 国家開催の講習に参加できる。
    • 名称独占だが業務独占ではない。
  • デメリット
    • コスト
      • 3年で約14万円のお金が必要。
      • 講習参加や移動の時間が必要。
  • リスク
    • 罰金刑・懲役刑を受ける可能性がある。
  • 登録する・しないのトレードオフ
  • 登録した場合の維持費
    • 1年あたりにかかる維持費は他の資格と比べて高くはない。
    • 業務独占でないので維持費の費用対効果は判断が分かれる。
  • 登録しない場合の維持方法
    • 未登録情報セキュリティスペシャリストを名乗ることが出来る。
    • 知識のアップデートを証明できないので、試験を定期的に受け直して合格する。

認定維持

  • 資格の維持には、定期的な講習の受講が必要
  • 登録日を起点として
    • 1年の間に1回6時間のオンライン学習
    • 3年に1回6時間の集合講習

詳細

セキュリティ関連の技術力に加え、
下記マネジメントに関する知識が必要になる。

ISMS(情報セキュリティ・マネジメント・システム

  • ISMS : Information Security Management System
  • ISMS的な考え方で、企業の情報セキュリティのレベルを高めるには、
    • 「機密性・完全性・可用性」という3つの性質を維持すること。
    • 企業全体として優れた情報セキュリティ対策ができると述べている。
  • 情報セキュリティ基本方針
  • 全社的な基本方針を定めるもので広く社内外に公開する。
  • 詳細に踏み込まず、頻繁に変更しないが、
    ビジネス環境や技術の変化に対応させる。
  • 用語
    • 不適合
      要求事項を満たしていないこと。
  • 修正
    検出された不適合の修正(除去)
  • 是正処置
    不適合の発生源を除去し再発を防止。
    PMBOKでも是正処置の対象は作業内容で、再発防止。

ISO/IEC 27000 シリーズ

https://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA

ISO/IEC 27000:2013、JIS Q 27000:2014

ISMS 規格についての概要と基本用語集

ISO/IEC 27001:2013、JIS Q 27001:2014

組織のISMSを認証するための要求事項

  • ISMSの標準の中身
  • ISO/IEC 27001に対応するのはJIS Q 27001
    • ISO 27001の最新版がISO/IEC 27001:2013で、
    • 対応する日本語訳がJIS Q 27001:2014。
  • 目次
    • 0 序文
      • 0.1 概要
      • 0.2 他のマネジメントシステム規格との両立性
  • 1 適用範囲
  • 2 引用規格
  • 3 用語及び定義
  • 4 組織の状況
    • 4.1 組織及びその状況の理解
    • 4.2 利害関係者のニーズ及び期待の理解
    • 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
    • 4.4 情報セキュリティマネジメントシステム
  • 5 リーダーシップ
    • 5.1 リーダーシップ及びコミットメント
    • 5.2 方針
    • 5.3 組織の役割,責任及び権限
  • 6 計画
    • 6.1 リスク及び機会に対処する活動
    • 6.2 情報セキュリティ目的及びそれを達成するための計画策定
  • 7 支援
    • 7.1 資源
    • 7.2 力量
    • 7.3 認識
    • 7.4 コミュニケーション
    • 7.5 文書化した情報
  • 8 運用
    • 8.1 運用の計画及び管理
    • 8.2 情報セキュリティリスクアセスメント
    • 8.3 情報セキュリティリスク対応
  • 9 パフォーマンス評価
    • 9.1 監視,測定,分析及び評価
    • 9.2 内部監査
    • 9.3 マネジメントレビュー
  • 10 改善
    • 10.1 不適合及び是正処置
    • 10.2 継続的改善
  • 附属書Aの構成(管理策の14カテゴリ)
    • A.5 セキュリティ方針
    • A.6 情報セキュリティのための組織
    • A.7 人的資源のセキュリティ
    • A.8 資産の管理
    • A.9 アクセス制御
    • A.10 暗号
    • A.11 物理的及び環境的セキュリティ
    • A.12 運用管理
    • A.13 通信のセキュリティ
    • A.14 システムの取得、開発及び保守
    • A.15 供給者管理
    • A.16 情報セキュリティインシデントの管理
    • A.17 事業継続管理の情報セキュリティの側面
    • A.18 順守

ISO/IEC 27002:2013、JIS Q 27002:2014

組織でISMSを実践するための規範

  • 27001との違いは、
    • 27001は、監査、フレームワーク考案用(shall)
    • 27002は、詳細な管理策の立案用(should)
  • 27001の14カテゴリの管理策
    最下位には、114の管理策が定義されている。

ISO/IEC 2700X:201X

その他、色々。

参考

試験

IPA

IPA 独立行政法人 情報処理推進機構

Wikipedia

Qiita


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-11-04 (月) 19:34:46 (8d)