「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- 国家資格「情報処理安全確保支援士(登録セキスぺ)」
- 従来の「情報セキュリティスペシャリスト」を
登録・更新制にし、登録する・しないを選択可能。
IPA試験の略号 †
恐らく、SC : SeCurity?なんだろうなと。
動機 †
サービス開発の認証基盤開発を行うため。
メリット †
- メリット
- 国家資格の肩書が持てる/名乗れる。
- 国家開催の講習に参加できる。
- 名称独占だが業務独占ではない。
- デメリット
- コスト
- 3年で約14万円のお金が必要。
- 講習参加や移動の時間が必要。
- 登録した場合の維持費
- 1年あたりにかかる維持費は他の資格と比べて高くはない。
- 業務独占でないので維持費の費用対効果は判断が分かれる。
- 登録しない場合の維持方法
- 未登録情報セキュリティスペシャリストを名乗ることが出来る。
- 知識のアップデートを証明できないので、試験を定期的に受け直して合格する。
認定維持 †
- 登録日を起点として
- 1年の間に1回6時間のオンライン学習
- 3年に1回6時間の集合講習
詳細 †
セキュリティ関連知識に加え、マネジメントに関する知識が必要になる。
概要 †
- ISMS : Information Security Management System
- ISMS的な考え方で、企業の情報セキュリティのレベルを高めるには、
- 「機密性・完全性・可用性」という3つの性質を維持すること。
- 企業全体として優れた情報セキュリティ対策ができると述べている。
情報セキュリティ基本方針 †
- 全社的な基本方針を定めるもので広く社内外に公開する。
- 詳細に踏み込まず、頻繁に変更しないが、
ビジネス環境や技術の変化に対応させる。
標準(手順) †
ISMSの標準(手順)が
ISO 27001およびそれと同等なJIS Q 27001
に規定されている。
用語 †
※ PMBOKでの是正処置は
- 差異の訂正(プロジェクトを適正な状態に戻す。)
- 訂正の対象は作業内容
- 再発防止は予防処置で行う。
https://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA
ISO/IEC 27000:2013、JIS Q 27000:2014 †
ISMS 規格についての概要と基本用語集
ISO/IEC 27001:2013、JIS Q 27001:2014 †
組織のISMSを認証するための要求事項
- ISO/IEC 27001に対応するのはJIS Q 27001
- ISO 27001の最新版がISO/IEC 27001:2013で、
- 対応する日本語訳がJIS Q 27001:2014。
- 目次
- 0 序文
- 0.1 概要
- 0.2 他のマネジメントシステム規格との両立性
- 4 組織の状況
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 4.4 情報セキュリティマネジメントシステム
- 5 リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割,責任及び権限
- 6 計画
- 6.1 リスク及び機会に対処する活動
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 7 支援
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
- 8 運用
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
- 9 パフォーマンス評価
- 9.1 監視,測定,分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
- 10 改善
- 10.1 不適合及び是正処置
- 10.2 継続的改善
- 附属書Aの構成(管理策の14カテゴリ)
- A.5 セキュリティ方針
- A.6 情報セキュリティのための組織
- A.7 人的資源のセキュリティ
- A.8 資産の管理
- A.9 アクセス制御
- A.10 暗号
- A.11 物理的及び環境的セキュリティ
- A.12 運用管理
- A.13 通信のセキュリティ
- A.14 システムの取得、開発及び保守
- A.15 供給者管理
- A.16 情報セキュリティインシデントの管理
- A.17 事業継続管理の情報セキュリティの側面
- A.18 順守
ISO/IEC 27002:2013、JIS Q 27002:2014 †
組織でISMS(管理策)を実践するための規範
- 27001との違いは、
- 27001は、監査、フレームワーク考案用(shall)
- 27002は、詳細な管理策の立案用(should)
- 27001の14カテゴリの管理策
最下位には、114の管理策が定義されている。
その他、色々。
参考 †
IPA †
IPA 独立行政法人 情報処理推進機構
- 情報セキュリティ白書
無償でPDFダウンロードできるらしい。
Wikipedia †
Qiita †