「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>資格]] *目次 [#zcb65032] #contents *概要 [#b9113858] -国家資格「情報処理安全確保支援士(登録セキスぺ)」 -従来の「情報セキュリティスペシャリスト」を~ 登録・更新制にし、登録する・しないを選択可能。 **IPA試験の略号 [#d8e2f9b0] 恐らく、SC : SeCurityなんだろうなと。 **動機 [#p9e7d323] [[サービス]]開発の[[認証基盤]]開発を行うため。 **メリット [#f32d591f] -メリット --国家資格の肩書が持てる/名乗れる。 --国家開催の講習に参加できる。 --名称独占だが業務独占ではない。 -デメリット --コスト ---3年で約14万円のお金が必要。 ---講習参加や移動の時間が必要。 --リスク ---罰金刑・懲役刑を受ける可能性がある。 -登録する・しないのトレードオフ --登録した場合の維持費 ---1年あたりにかかる維持費は他の資格と比べて高くはない。 ---業務独占でないので維持費の費用対効果は判断が分かれる。 --登録しない場合の維持方法 ---未登録情報セキュリティスペシャリストを名乗ることが出来る。 ---知識のアップデートを証明できないので、試験を定期的に受け直して合格する。 **認定維持 [#ge8e44d8] -資格の維持には、定期的な講習の受講が必要 -登録日を起点として --1年の間に1回6時間のオンライン学習 --3年に1回6時間の集合講習 *詳細 [#u50c1881] セキュリティ関連知識に加え、マネジメントに関する知識が必要になる。 **[[セキュリティ関連知識>SC:試験#g29a577c]] [#l17b31e9] **ISMS(情報セキュリティ・[[マネジメント・システム]]) [#y8c651c9] ***概要 [#wc214406] -ISMS : Information Security Management System --情報セキュリティ・[[マネジメント・システム]] --企業全体の「情報セキュリティを管理するための仕組み -ISMS的な考え方で、企業の情報セキュリティのレベルを高めるには、 --「機密性・完全性・可用性」という3つの性質を維持すること。 --企業全体として優れた情報セキュリティ対策ができると述べている。 ***情報セキュリティ基本方針 [#e161998e] -情報セキュリティの経営陣の方向性及び支持を規定。~ (品質[[マネジメント・システム]]の情報セキュリティ版みたいな) -全社的な基本方針を定めるもので広く社内外に公開する。 -詳細に踏み込まず、頻繁に変更しないが、~ ビジネス環境や技術の変化に対応させる。 ***標準(手順) [#hea76d9b] ISMSの標準(手順)が >[[ISO 27001およびそれと同等なJIS Q 27001>#df29d24b]] に規定されている。 ***用語 [#kf806a5f] -不適合~ 要求事項を満たしていないこと。 -修正~ 検出された不適合の修正(除去) -是正処置~ 不適合の --発生源を除去し --再発を防止する。 >※ [[PMBOKでの是正処置>PMP:監視・制御#keb5409b]]は -差異の訂正(プロジェクトを適正な状態に戻す。) -訂正の対象は作業内容 -再発防止は予防処置で行う。 **[[ISO/IEC 27000 シリーズ>SC:法制度#r86cb236]] [#n8df81eb] https://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA ***ISO/IEC 27000:2013、JIS Q 27000:2014 [#eb682ad0] ISMS 規格についての概要と基本用語集 ***ISO/IEC 27001:2013、JIS Q 27001:2014 [#df29d24b] 組織のISMSを認証するための要求事項 -ISMSの標準の中身 -ISO/IEC 27001に対応するのはJIS Q 27001 --ISO 27001の最新版がISO/IEC 27001:2013で、 --対応する日本語訳がJIS Q 27001:2014。 -目次 --0 序文 ---0.1 概要 ---0.2 他のマネジメントシステム規格との両立性 --1 適用範囲 --2 引用規格 --3 用語及び定義 --4 組織の状況 ---4.1 組織及びその状況の理解 ---4.2 利害関係者のニーズ及び期待の理解 ---4.3 情報セキュリティマネジメントシステムの適用範囲の決定 ---4.4 情報セキュリティマネジメントシステム --5 リーダーシップ ---5.1 リーダーシップ及びコミットメント ---5.2 方針 ---5.3 組織の役割,責任及び権限 --6 計画 ---6.1 リスク及び機会に対処する活動 ---6.2 情報セキュリティ目的及びそれを達成するための計画策定 --7 支援 ---7.1 資源 ---7.2 力量 ---7.3 認識 ---7.4 コミュニケーション ---7.5 文書化した情報 --8 運用 ---8.1 運用の計画及び管理 ---8.2 情報セキュリティリスクアセスメント ---8.3 情報セキュリティリスク対応 --9 パフォーマンス評価 ---9.1 監視,測定,分析及び評価 ---9.2 内部監査 ---9.3 マネジメントレビュー --10 改善 ---10.1 不適合及び是正処置 ---10.2 継続的改善 - 附属書Aの構成(管理策の14カテゴリ) --A.5 セキュリティ方針 --A.6 情報セキュリティのための組織 --A.7 人的資源のセキュリティ --A.8 資産の管理 --A.9 アクセス制御 --A.10 暗号 --A.11 物理的及び環境的セキュリティ --A.12 運用管理 --A.13 通信のセキュリティ --A.14 システムの取得、開発及び保守 --A.15 供給者管理 --A.16 情報セキュリティインシデントの管理 --A.17 事業継続管理の情報セキュリティの側面 --A.18 順守 ***ISO/IEC 27002:2013、JIS Q 27002:2014 [#t3518e4a] 組織でISMSを実践するための規範 -27001との違いは、 --27001は、監査、フレームワーク考案用(shall) --27002は、詳細な管理策の立案用(should) -27001の14カテゴリの管理策~ 最下位には、114の管理策が定義されている。 -参考 --ISO 27001対ISO 27002 - 27001Academy~ https://advisera.com/27001academy/ja/blog/2011/01/18/iso-27001%E5%AF%BEiso-27002/ ***[[ISO/IEC 2700X:201X>SC:法制度#r86cb236]] [#b73361a4] その他、色々。 *参考 [#we81cb57] **[[試験>SC:試験]] [#va77493a] **IPA [#sd095f0b] IPA 独立行政法人 情報処理推進機構 -制度の概要:情報処理安全確保支援士試験~ https://www.jitec.ipa.go.jp/1_11seido/sc.html -国家資格「情報処理安全確保支援士(登録セキスペ)」とは~ https://www.ipa.go.jp/siensi/index.html --制度について~ https://www.ipa.go.jp/siensi/whatsriss/index.html --情報処理安全確保支援士(登録セキスペ)になるには~ https://www.ipa.go.jp/siensi/toberiss/index.html -情報セキュリティ白書~ 無償でPDFダウンロードできるらしい。 --2018~ https://www.ipa.go.jp/security/publications/hakusyo/2018.html **Wikipedia [#db5a03bc] -情報処理安全確保支援士~ https://ja.wikipedia.org/wiki/%E6%83%85%E5%A0%B1%E5%87%A6%E7%90%86%E5%AE%89%E5%85%A8%E7%A2%BA%E4%BF%9D%E6%94%AF%E6%8F%B4%E5%A3%AB -情報セキュリティマネジメントシステム~ https://ja.wikipedia.org/wiki/%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0 -ISO/IEC 27000 シリーズ - Wikipedia~ https://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA **Qiita [#c4006bc2] -情報処理安全確保支援士(登録セキスペ)を登録すべきか?~ https://qiita.com/Nao9syu/items/9a0d0403c4718111af6a --「未登録情報セキュリティスペシャリスト」 | まるおかディジタル株式会社~ https://www.maruoka-digital.jp/blogcontent/1609053338/#314