 
CSPM of managementは、セキュリティ・マネジメントを実施する人のために、情報セキュリティマネジメント系の知識(下図:IPA情報セキュリティスキルマップのレベル2〜3)に対応した教育です。また、ITスキル標準(ITSS)の情報セキュリティ分野レベル2〜4に対応した教育となっています。情報セキュリティマネジメント・リスク分析の考え方や、情報セキュリティポリシー策定の基本、対策計画を立てるために必要な知識を習得します。
- 認定資格
- Certified Security Professional Master(CSPM)OF Management
- 対象
- 情報システム管理者、セキュリティ監査員、法務担当
- 日程
- 2日間
- 受講料(税別)
- ¥135,000(テキスト・試験含む)
※受験のみの場合は¥15,000
■情報セキュリティとは何か
| ・ |
セキュリティには2つの意味がある |
| ・ |
何をセキュアする(安全にする)のか |
| ・ |
情報セキュリティの種類 |
| ・ |
物理的セキュリティと論理的セキュリティ |
■情報セキュリティーの構成要素
| ・ |
情報セキュリティの6つの要素 |
| ・ |
機密性[Confidential]とは? |
| ・ |
完全性[Integrity]とは? |
| ・ |
可用性[Availability]とは? |
| ・ |
真正性[Authenticity]とは? |
| ・ |
責任追跡性[Accountability]とは? |
| ・ |
信頼性[Reliability]とは? |
| ・ |
3大要素のバランスと活用 |
| ・ |
情報セキュリティ対策の考え方 |
| ・ |
情報セキュリティ対策の4つの機能 |
| ・ |
「抑止機能」脆弱さをカバーする環境作り |
| ・ |
「防衛機能」抑止できない脅威からの防御 |
| ・ |
「検知機能」トラブルをいち早く察知し被害を最小限に食い止める |
| ・ |
「回復機能」機能とデータを速やかに回復 |
■脅威と脆弱性
| ・ |
100%のセキュリティはありえない |
| ・ |
脅威 |
| ・ |
人による脅威 |
| ・ |
ソーシャルエンジニアリングの脅威 |
| ・ |
クリアデスク・クリアスクリーン |
■情報セキュリティマネジメント
| ・ |
情報セキュリティにおける「PDCAサイクル」 |
| ・ |
さまざまな情報セキュリティマネジメント |
|
■リスクの概念
| ・ |
情報セキュリティにおけるリスク |
| ・ |
リスクと損失 |
| ・ |
損失の種類 |
| ・ |
リスクを構成する要素 |
| ・ |
●事例●
個人情報漏えいで「32億円」 |
| ・ |
JOモデルと使って想定損害賠償額を計算する |
| ・ |
宇治市事故と想定損害賠償額 |
■リスク分析の概要
| ・ |
リスク分析の必要性 |
| ・ |
リスク分析の目的と効果 |
| ・ |
リスク分析の種類 |
| ・ |
ベースラインアプローチ |
| ・ |
非形式アプローチ |
| ・ |
詳細リスク分析 |
| ・ |
組み合わせアプローチ |
■詳細リスク分析
| ・ |
詳細リスク分析の手順 |
| ・ |
情報資産を分類する |
| ・ |
分類のときに持つべき「目」 |
| ・ |
情報資産調査の準備をする |
| ・ |
どこまで情報資産調査を行うのか |
| ・ |
情報資産をカテゴライズする |
| ・ |
情報資産調査表のまとめ方 |
| ・ |
脅威とぜい弱性、管理策 |
| ・ |
リスクの大きさの評価 |
| ・ |
どの手法を使うか |
■リスクマネジメント
| ・ |
リスクマネジメントのプロセス |
| ・ |
リスク処理の概要 |
| ・ |
リスクコントロールの手法 |
| ・ |
リスクファイナンスの手法 |
■情報セキュリティポリシーの概要
| ・ |
「ルール」がセキュリティを作る |
| ・ |
内的効果と外的効果 |
| ・ |
セキュリティポリシーが果たす役割 |
| ・ |
情報セキュリティポリシーの位置付け |
| ・ |
情報セキュリティの構成 |
|
■情報セキュリティポリシーの策定
| ・ |
策定のための委員会を設置する |
| ・ |
情報セキュリティポリシーの策定手順 |
| ・ |
策定において注意すべきこと |
■情報セキュリティ監査制度
| ・ |
情報セキュリティ監査制度 |
| ・ |
情報セキュリティ監査制度で提示される文書 |
| ・ |
情報セキュリティ監査制度の6つの視点 |
| ・ |
監査が情報セキュリティマネジメントを高める |
| ・ |
情報セキュリティ管理基準 |
| ・ |
情報セキュリティ対策基準との比較 |
| ・ |
組織にあった個別の管理基準 |
| ・ |
自組織の管理基準を策定する |
| ・ |
コントロールの選定 |
| ・ |
コントロール選定の目安 |
| ・ |
サブコントロールの選定 |
| ・ |
サブコントロールの修正 |
| ・ |
技術的検証の必要性 |
| ・ |
個別管理基準を完成させる |
| ・ |
個別管理基準を使いやすく分類する |
| ・ |
個別管理基準を利用する前に |
| ・ |
技術的検証と監査結果を活用するために |
| ・ |
外部監査の利点 |
■情報セキュリティ関連法規
| ・ |
電子計算機損壊等業務妨害 |
| ・ |
電子計算機使用詐欺 |
| ・ |
不正アクセス禁止法 |
| ・ |
電子署名法 |
| ・ |
個人情報保護法 |
| ・ |
知的財産権 |
| ・ |
工業所有権に関する法律 |
| ・ |
特許法 |
| ・ |
著作権法 |
| ・ |
不正競争防止法 |
| ・ |
その他の法律 |
|
|
