情報セキュリティ監査・審査系資格の取得と効用(4)情報セキュリティ監査の知識と実践能力を兼務
【公認情報セキュリティ監査人】
特集
特集
●組織の情報セキュリティ対策を評価し、保証や助言を行う独立の専門家
2003年4月、経済産業省による「情報セキュリティ監査制度」が施行された。本制度は、ISMS適合性評価制度と別ではあるが、組織の情報セキュリティマネジメントのレベルをISMS認証取得レベルにまで高めるという意味からも、「ISMS認証取得の裾野を広げる」ものとして期待されている。
この普及母体として、2003年10月に設立されたのが、NPO日本セキュリティ監査協会(以下JASA)で、公平な情報セキュリティ監査の実施を目指し、JASAが認定するのが「公認情報セキュリティ監査人資格制度」(Certified Auditor for Information Security)(以下CAIS;ケイズ)である。
>>情報セキュリティ監査制度
http://www.jasa.jp/isec-kansa/
>>日本セキュリティ監査協会
http://www.jasa.jp/index.html
>>情報セキュリティ監査人資格制度
http://www.jasa.jp/qualification/qualify.html
●CAISの種類と取得方法
CAISは、求められる知識・経験・技術に応じて、以下の5つの資格区分を設けている。また、認定された資格には有効期間があり、資格維持のためには所定の活動実績をポイント換算し、一定水準以上を満たすことが求められる。
1.情報セキュリティ監査人補(CAIS-Assistant)
公認情報セキュリティ監査人の指導のもと、OJTとして監査に参加。
[取得要件]
情報技術分野で少なくとも4年以上(うち情報セキュリティ関連分野で少なくとも2年以上)の業務経験が必要だが、CISM、CISSP、情報セキュリティアドミニストレータ等の資格保有による代替も可能。加えて、JASA認定の研修・トレーニングコースを修了(研修2日目の修了試験及びトレーニングコース3日目の小論文試験を受け合格)しなければならない。さらに、倫理基準遵守の誓約が求められる。
2.公認情報セキュリティ監査人(CAIS-Auditor)
公認情報セキュリティ主任監査人の指導のもと、OJTとして監査チームリーダを務める。
[取得要件]
取得には、情報セキュリティ監査人補の要件に加え、過去3年以内に最低4回延べ20日間の監査メンバーとしての監査実施経験(うち2回以上は情報セキュリティ監査制度に基づく助言型監査又は保証型監査)が必要。さらに、監査人、主任監査人、主席監査人、または協会会員からの推薦がいる。
3.公認情報セキュリティ主任監査人(CAIS-Lead Auditor)
監査チームリーダとなって、監査計画を立案し、監査計画に基づいて監査を実施し、報告書を作成し、監査結果を被監査主体に報告する役割を担う。
[取得要件]
取得には、公認情報セキュリティ監査人の要件に加え、過去2年以内に最低3回延べ15日間は、主任情報セキュリティ監査人の指導のもとでの監査チームリーダとしての監査実施経験(うち2回以上は情報セキュリティ監査制度に基づく助言型監査又は保証型監査)が必要。面接審査もある。さらに主任監査人、主席監査人、または協会会員からの推薦がいる。
4. 情報セキュリティ監査アソシエイト(CAIS-Associate)
監査チームリーダの要請により、チームの一員として専門知識にもとづき助言する。
[取得要件]
取得には、専門分野(分野は問わない)での3年以上の業務経験か代替資格の保有が必要。加えて、情報セキュリティ監査協会の認定研修を修了し、倫理基準遵守の誓約が求められる。
5. 公認情報セキュリティ主席監査人(CAIS-Principal Auditor)
情報セキュリティ監査についての高い見識、広い視野を持ち、情報セキュリティ監査の普及・促進、品質向上、監査制度の改善等に積極的に貢献する。
【執筆:株式会社アイドゥ 柳生謙・井上きよみ http://www.eyedo.jp】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》