中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

小規模サイトにおける情報システム担当者が持つべき知識とスキル

1.1.     ITパスポート試験シラバス

f:id:mskn:20160704133108j:plain

  • 情報処理技術者試験のレベル1で、社会人の常識とされる
  • システムを使ったサービスの提供者、利用者が知っておくべき基礎知識
  • 範囲は網羅的
  • 内容は用語の意味を知っていればいい程度

1.2.     まとめ)企業の情報セキュリティ対策と人材面の対策

f:id:mskn:20160704133315j:plain

1.3.     情報処理技術者試験 情報セキュリティ人材育成の取り組み

f:id:mskn:20160704133423j:plain

1.4.     情報セキュリティマネジメント試験 シラバス

f:id:mskn:20160704133543j:plain

1.5.     情報セキュリティマネジメントタスクプロフィール

  • 情報システムの利用部門において、
  • 情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、
  • 情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する。

1.6.     情報セキュリティ人材の職種

  • 平成24年度に「情報セキュリティ人材の育成指標等の策定事業」(経済産業省)によって検討されたスキル標準等の見直し案の方針を受けて作成した 「情報セキュリティ強化対応CCSF」に基づくITSS、UISS、ETSS視点の人材モデル
  • コンサルタント
    • 情報リスクマネジメント
      • すべてのインダストリに共通する組織ガバナンスと情報リスクマネジメント(事業継続管理、情報セキュリティマネジメント等)、コンプライアンスの領域における、競争・サービスの差別化の源泉となる専門知識を活用し解決策を提示する。"
  • ITアーキテクト
    • セキュリティアーキテクチャ
      • ビジネスおよびIT上の課題を分析し、セキュリティ要件として再構成する。システム属性、仕様を明らかにし、情報システムの安全性や信頼性をセキュリティ面から実現する上で最適なアーキテクチャを設計する。設計したアーキテクチャがビジネス及びIT上の課題に対するソリューションを構成することを確認するとともに、後続の開発、導入が可能であることを確認する。"
  • セキュリティアドミニストレータ
    • 情報セキュリティアドミニストレータ
      • 【ミッション】情報セキュリティ戦略やポリシー・ルール策定等を推進する。
      • 【活動内容】セキュリティの活動領域として以下を実施する。
        • ●事業戦略策定・情報セキュリティ戦略の策定
        • ●セキュリティ・セキュリティ方針の策定"
    • ISセキュリティアドミニストレータ
      • 【ミッション】IS戦略と情報セキュリティ戦略との相互連携を図る。情報セキュリティ戦略やポリシーを企画・計画に落とし込み、実装(ないしはその指示)・提供・維持・管理を行う。
      • 【活動内容】セキュリティの活動領域として以下を実施する。
        • ● IT基盤構築・維持・管理・品質統制フレームワークの運営 (各プロジェクトに対するガバナンスの実施)・ IS導入計画の策定
        • ●セキュリティ・セキュリティ基準の策定・セキュリティ事故と対応の分析・セキュリティ対応の見直し"
    • インシデントハンドラ
      • 【ミッション】情報セキュリティインシデントについて、インシデントの発生を検知・受付し、適切に判断・対応することで、被害を極少化する。
      • 【活動内容】セキュリティの活動領域として以下を実施する。
        • ●IS運用・セキュリティ管理"
  • セキュリティマネージャ
    • 組込みセキュリティ
      • 製品に関するリスク対応の観点に基づき、機能安全を含む製品のセキュリティの側面から、企画・開発・製造・保守などにわたるセキュリティライフサイクルを統括する責任者。"
  • 情報セキュリティマネジメント
    • 情報システムの利用部門において、情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する。