Professional Documents
Culture Documents
Syllabus SG Ver2 0
Syllabus SG Ver2 0
情報セキュリティ
マネジメント試験
(レベル2)
シラバス
- 情報処理技術者試験における知識・技能の細目 -
Ver 2.0
本シラバスに記載されている会社名又は製品名は,それぞれ各社又は各組織の商標又は登録商標です。
なお,本シラバスでは, 及び TM を明記していません。
「情報セキュリティマネジメント試験」の出題範囲 1) を更に詳細化し,レ
ベル 2 相当の人材に求められる知識・技能の幅と深さを体系的に整理,明確
化した「シラバス」
(情報処理技術者試験における知識・技能の細目)を策定
しましたので,公表します。
本シラバスが,試験の合格を目指す受験者の方々にとっての学習指針とし
て,また,企業,学校の教育プロセスにおける指導指針として,有効に活用
されることを期待するものです。
なお,本シラバスは,技術動向などを踏まえて,内容の追加,変更,削除
など,適宜見直しを行っていきますので,あらかじめご承知おきください。
■ シラバスの構成
本シラバスは,次の図のとおり,前半に「要求される知識」を,後半に「要
求される技能」を記しています。
「要求される知識」の章では,
〔情報セキュリティマネジメント試験の午前
の出題範囲〕の大中小分類に沿って,具体的な内容を示しています。
「要求される技能」の章では,
〔情報セキュリティマネジメント試験の午後
の出題範囲〕の項目ごとに具体的な内容を示しています。
図 シラバスの構成
注 1)「試験要綱 7. 出題範囲(https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html)
」
リスクの大きさ,リスク対応策の実施に要するコスト,及び対応策を
実施しても残留するリスクへの対処の考え方,方法,手順を理解し,
(そ
れらのリスクを許容できるか否かを考慮した)リスク対応策の優先順位
を検討できる。
部門で開発・取得する情報システムに関する情報セキュリティ要求事
項,開発及びサポートプロセスにおける情報セキュリティ,試験デー
タの取扱いなど
運用の手順及び責任
また,情報システム部門が所有する情報システムのうち,部門が利用
する情報システムに関しても,必要に応じて同様に要求事項を取りまと
めて提案できる。
Ⅱ 情報セキュリティマネジメントの運用・継続的改善に関すること
5 情報資産の管理 5-1 情報資産台帳の維持管 情報資産台帳に記載する内容,及び台帳の維持管理の必要性,手順を 情報セキュリティポリシ,情
理 理解した上で,情報セキュリティポリシを含む組織内諸規程(以下,情 報資産の受入れ,配置,管理
報セキュリティ諸規程という)及び部門で定めたルールに従い,情報資 者変更,構成変更,他部門へ
産の受入れ,配置,管理者変更,構成変更,他部門への移転及び廃棄を の移転,廃棄
適切に反映して,情報資産台帳を維持管理できる。
また,不適切と思われる事項を発見した場合は,上位者に報告・相談
し,適切に対処することができる。
委託先の現状に関する事前確認の結果を踏まえて,是正の必要があれ
ば,その対応方法,時期,対応費用の取扱いを含め,委託先との調整を,
契約担当者と協力しつつ実施できる。
委託開始時と更新時には,情報セキュリティが担保されていること
を,契約担当者と協力しつつ確認できる。
契約締結後は,不正防止・機密保護などの実施状況を,契約担当者と
委託業務の実施内容と契約内容に相違がある場合は,齟齬の発生理由
と課題の明確化,措置の実施による是正を,契約担当者と協力しつつ実
施できる。
資料やデータの委託先からの回収又は廃棄の状況を文書に取りまと
め、上位者に報告できる。
上記の指示の下,事故の影響の大きさと範囲を想定して対応策の優先
順位を検討し,被害の拡大を回避する処置を提案し実行する。
事故に対する初動処理を記録し,状況を報告する。
情報システム部門の協力を受けて,事故による被害状況や被害範囲を
調査し,損害と影響を評価する。
セキュリティ情報,事故に関する様々な情報,部門で収集した操作記
録,アクセス記録などを基に,事故の原因を特定する。
組織による部門への教育・訓練を支援する。
繰り返して伝達(リカレント教育)を実施し,コンプライアンス意識
の定着を目指す。
自部門又は業務監査部門が定期的に行う,法令,規格,規範及び情報
セキュリティ諸規程の順守状況の点検,評価に対応する。
第三者(外部を含む)による情報セキュリティ監査に協力し,必要な
監査部門からの指摘事項に関して,改善のために必要な方策を活動計
画として取りまとめ,実施する。
情報セキュリティ新技術,新たな情報システムの導入に際して,情報
セキュリティ諸規程の関係する箇所を抽出し,現行の規程の妥当性を
確認する。
情報システム利用時の情報セキュリティが確保されていることを確
認する。
・最新の脅威と事故に関する情報を情報セキュリティ機関,ベンダ,そ
の他の企業から収集する。
・最新のセキュリティ情報や情報セキュリティ技術情報及び情報セキュ
リティ事故例を,報道,学会誌,商業誌などから収集し,分析,評価
して,情報システムへの適用の必要性や費用対効果を検討する。
・情報セキュリティに関する法令,規格類の制定・改廃や社会通念の変
化,コンプライアンス上の新たな課題などの情報を収集する。