情報セキュリティマネジメント試験は、セキュリティ管理業務に必要となる知識・技術の出題に特化した試験です。試験範囲も他の区分と比較して限定的になっています。
情報セキュリティマネジメント試験の出題範囲
出題範囲の詳細及び求められる技術レベルは、下記ページで公開されているシラバスで確認することができます。
【試験要綱・シラバスなど】
https://www.ipa.go.jp/shiken/syllabus/gaiyou.html
科目Aの出題範囲
- 情報セキュリティ全般
- (機密性・完全性・可用性、脅威、脆弱性、サイバー攻撃手法、暗号、認証 ほか)
- 情報セキュリティ管理
- (情報資産、リスク、ISMS、インシデント管理などの各種管理策、CSIRT ほか)
- 情報セキュリティ対策
- (マルウェア対策、不正アクセス対策、情報漏えい対策、アクセス管理、情報セキュリティ啓発 ほか)
- 情報セキュリティ関連法規
- (サイバーセキュリティ基本法、個人情報保護法、不正アクセス禁止法 ほか)
- テクノロジ系
- (ネットワーク、データベース、システム構成要素)
- マネジメント系
- (システム監査、サービスマネジメント、プロジェクトマネジメント)
- ストラテジ系
- (システム戦略、システム企画、企業活動、法務)
※情報セキュリティマネジメント試験は「ITを利活用する者」を主な対象とすることから、技術的な項目は除外されています
科目Bの出題範囲
科目Bでは出題される12問全てが情報セキュリティ分野の出題です。
情報セキュリティマネジメントの計画,情報セキュリティ要求事項に関すること
- ①情報資産管理の計画
- 情報資産の特定及び価値の明確化,管理責任及び利用の許容範囲の明確化,情報資産台帳の作成 など
- ②情報セキュリティリスクアセスメント及びリスク対応
- リスクの特定・分析・評価,リスク対応策の検討,リスク対応計画の策定 など
- ③情報資産に関する情報セキュリティ要求事項の提示
- 物理的及び環境的セキュリティ,部門の情報システムに関する技術的及び運用のセキュリティ など
- ④情報セキュリティを継続的に確保するための情報セキュリティ要求事項の提示
情報セキュリティマネジメントの運用・継続的改善に関すること
- ①情報資産の管理
- 情報資産台帳の維持管理,媒体の管理,利用状況の記録 など
- ②部門の情報システム利用時の情報セキュリティの確保
- マルウェアからの保護,バックアップ,ログ取得及び監視,情報の転送における情報セキュリティの維持,脆弱性管理,利用者アクセスの管理,運用状況の点検 など
- ③業務の外部委託における情報セキュリティの確保
- 外部委託先の情報セキュリティの調査,外部委託先の情報セキュリティ管理の実施,外部委託の終了 など
- ④情報セキュリティインシデントの管理
- 発見,初動処理,分析及び復旧,再発防止策の提案・実施,証拠の収集 など
- ⑤情報セキュリティの意識向上
- 情報セキュリティの教育・訓練,情報セキュリティに関するアドバイス,内部不正による情報漏えいの防止 など
- ⑥コンプライアンスの運用
- 順守指導,順守状況の評価と改善 など
- ⑦情報セキュリティマネジメントの継続的改善
- 問題点整理と分析,情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の見直し など
- ⑧情報セキュリティに関する動向・事例情報の収集と評価
科目Bでは出題される12問全てが情報セキュリティ分野の出題です。公式ページでは「業務の現場における情報セキュリティ管理の具体的な取組みである情報資産管理、リスクアセスメント、IT利用における情報セキュリティ確保、 委託先管理、情報セキュリティ教育・訓練などのケーススタディによる出題を通して、情報セキュリティ管理の実践力を問います」と紹介されています。
出題の特色
公式ページでは「業務の現場における情報セキュリティ管理の具体的な取組みである情報資産管理、リスクアセスメント、IT利用における情報セキュリティ確保、 委託先管理、情報セキュリティ教育・訓練などのケーススタディによる出題を通して、情報セキュリティ管理の実践力を問います」と紹介されています。
試験の紹介ページでは出題の特色として以下の2点が挙げられています。
- 身近な事例をベースにした実践的な問題
- 内部不正の防止、標的型攻撃対策、クラウドサービスの安全な利用、情報セキュリティ関連法規の制定・改正への対応など、組織を取り巻く情報セキュリティ面の環境変化や動向をタイムリーにとらえ、業務の現場で直面している事例に即した問題を出題します。
- 国際・国内標準や公的なガイドラインに基づく出題
- 情報セキュリティマネジメントに関する国際規格の「ISO/IEC27000規格群」(及びそれに基づく国内規格のJIS Q 27000規格群)や公的なガイドラインである「組織における内部不正防止ガイドライン」が求めている管理策・対策などを積極的に取り上げます。
これまでの試験内容を見ると、技術者が取り扱うような技術的セキュリティの内容は深く問われることはなく、メインとなっているのは物理的セキュリティや人的セキュリティです。現場において、部門のセキュリティ担当者やISMS担当者の立場になって組織のセキュリティを管理面から整えたり、技術者と協力しながらセキュリティインシデントに対処したりするようなときを想定していると言えるでしょう。
情報セキュリティマネジメント試験は
- 科目Aは、セキュリティを中心に全10分野から出題
- 科目Bは、セキュリティ関連の様々な分野から出題