kuzira_diver

  セキュリティ体制の構築 セキュリティ対策を推進する活動を継続させるには、経営者による理解とリーダーシップが不可欠な為、経営者の視点と実務者または支援者としての視点をこの章で学ぶ。 第1章　セキュリティ体制構築の必要性 『 サイバーセキュリティ経営ガイドライン 』 「経営者が認識すべき３原則」 経理者のリーダーシップが重要 自社以外のビジネスパートナー等にも配慮 平常時からのコミュニケーション・情報共有 担当幹部に指示すべき「サイバーセキュリティ経営の重要1０項目」 指示１「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」 指示２「サイバーセキュリティリスク管理体制の構築」 指示３「サイバーセキュリティ対策のための資源確保」 『 情報セキュリティ管理基準 』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準 『 サイバー・フィジカル・セキュリティ対策フレームワーク 』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示 第１層「企業（組織）間のつながり、第２層はフィジカル空間とサイバー空間のつながり、第３層はサイバー空間におけるつながりで整理      第2章　セキュリティ体制構築の具体的な手法 経営者によるサイバーセキュリティリスクの認識とリーダーシップ発揮による対策の推進 経営戦略としてのセキュリティ投資不可欠かつ経営者としての責務 サイバーセキュリティ対策を実施するうえでの責任者となる担当幹部を任命 情報セキュリティポリシーは経営層の意思表明 文章構成は一般的に「情報セキュリティ基本方針（ポリシー）」「情報セキュリティ対策基準（スタンダード）」「情報セキュリティ実施手順（プロシージャ）」の３階層となる 情報セキュリティマネジメントとPDCAサイクル 第3章　様々なセキュリティ組織の形態 セキュリティ体制の拡張と高度化 日本はシステム構築運用をアウトソースすることが多い為、分業体制を前提とし事業継続の観点から法令遵守、リスクマネジメント等に基づくセキュリティ推進活動を行う「セキュリティ統括（室）」に着目している。 セキュリティ統括室とは、期間となるIT領域、製造・運用のOT領域、IoT領域の全てのセキュリティ戦略に対応...

情報処理安全確保支援士に期待される役割と知識 情報処理確保支援士に何が期待されているか把握し、どのような知識が必要なのかを学習する。 第１章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること 『情報処理安全確保支援士　倫理綱領』役割と責任を果たすために従うべき規範 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 第２章　情報セキュリティを取り巻く環境の変遷 これまでは境界の内側は安全で、外部は危険があるので外からの脅威を防ぐ「境界防御」の考え方が一般的であった。しかし情報システムのクラウド化により、守るべき情報資産が外部にあるケースが増え、「境界」は曖昧なものへ。 サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。 「ゼロトラスト」 第３章　情報処理安全確保支援士に期待されること セキュリティにおいて、実務と経営をつなぐ（意思決定：経営層、助言指示：戦略マネジメント層、対策実施：実務者・技術者層） セキュリティ対応組織（SOC/CSIRT）の教科書 セキュリティ対応サイクルの各フェーズで求められる知識を提供。 第４章　セキュリティ対応 導入フェーズの知識 「導入」では企業経営、産業構造、機能的な視点が必要 サイバーセキュリティ経営ガイドライン 　経営者が認識すべき「３原則」 　経営者がCISO等い指示すべき「重要10項目」 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 　産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの 重要インフラのサイバーセキュリティを改善するためのフレームワーク 　 セキュリティ対策の基本機能を５つに分類。 体制や役割の参考  ユーザ企業のためのセキュリティ統括室　構築・運用キット　（統括室キット） CSIRTマテリアル セキュリティ対応組織の教科書 v2.1 CSIRTサービスフレームワーク 適切な人材の配置、新たな人材の登用、人材の育成の３つの観点で検討。 産業横断 人材定義リファレンス ：事業活動の観点から要求知識や業務区分、スキルを整理したもの セキュリティ知識分野（SecBoK2019） ：人材育成の観点から、スキルだけでなくタスクやロールを整理しまとめたもの CSIRT 人材の定義と確保 ：人...