CISMの勉強:領域1-情報セキュリティガバナンス

資格

今回からCIMSの勉強をしてる上でためになりそうな点を記載していく予定です。

数百ページの問題集なので一度で全部はもちろん無理ですし、私もまだそこまで見れていません。

少しずつ取り入れられる点を記事にしていきますので、これからCISMの取得を考えている人に参考になればと思います。

あとは自分自身への復習用のメモにも活用したいです。(アウトプット大事!)

なお、問題等の複写とかは禁止されているので、問題の丸写しとかは行いませんので、気になる人はちゃんと書籍を購入するか、受かった人から譲ってもらいましょう。

また、内容については個人的な見解であることをあらかじめご了承ください。

問題集を読んでみて

まず最初に領域を確認したのですが、CIMSの領域1の情報セキュリティガバナンスについては恐らく私が一番苦手の個所ではないかと思います。

CISAに合格した際の記事に記載した各領域の点数配分を見てみると「Governance and Management of IT」(ITガバメンスとマネジメント)が唯一合格基準以下(433)であったことからも、この領域が苦手そうな感じがします。
※ガバメントやガバナンスっていまいち馴染みがそんなにないんですよね・・・
他の分野がバッチリかと言われたらもちろんそんなことはないんですけどね(汗)

なので一番最初にあるのは助かります。(恐らく回数を一番見ることになると思うので)

問題を解きながら内容をみていると、やはり大事になってきているのはセキュリティ部門だけがとりまとめるのではなく、経営層にもしっかり承認等を行ってもらうことが重要になるということですかね。

よくある「君詳しそうだからよろしく!」みたいなのはダメだということですね。以下はよくある丸投げの参考画像です。

経営層にもしっかり責任を持ってもらうことで、組織全体でトップダウンの図式がちゃんと見えてくるのではないでしょうか?

あとは、組織の目標や財務の状態とマッチングすることが重要になってくるみたいです。

良いソリューションがあっても、企業規模を考えた際にオーバースペックになる場合は多くあります。

例えば数人から数十人規模の会社で大手企業が提供するセキュリティソリューションを導入しようとしたら、下手をするとその組織の利益より大幅に高いものになる可能性はあります。

また、それをちゃんと扱える社員のリソースも用意できない可能性があります。

組織の経営方針や社員のリソース、利益をしっかりと棚卸した上でまずは経営にあったセキュリティの目標(ポリシー)を設定することが大事になりますね。

勉強を始めてみて

CISAの際もそうでしたが、こういった問題集を読み解いていくだけでも、色々な気付きを得ることができます。

今の会社はこうだから、こうした方がいいな~とか、脆弱性を見つけた際にこういった視点で対策をする必要があるのかもと感じます。

またそれが今後の仕事に役に立つ可能性も高い気がしています。(今は気だけです。)
※特に報告会等で話をする際は重要になってるんじゃないかなと

資格を取るための勉強がメインですが、せっかく勉強しているのでついでに色々な知識や考え方も取り入れられれば一石二鳥になるかと。

今後も問題集を通しての気付き等を記事にする予定ですので、CISMを目指している方は参考にして頂ければ幸いです。(日本語の情報全然少ないですし)

カテゴリについては今のところ「セキュリティ」に含んでいますが、「セキュリティ資格」とかで分けてほしい等の要望があればご連絡をお願います。

アクセス解析を見てみると結構CISAの記事に来る方が多いので、「セキュリティ資格」も皆様気になっているんだなと感じています。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

コメント