2006年4月1日土曜日

現在、国内外の資格の取得が盛んになっています。そこで、資格について
考えてみたいと思います

システム監査関係
 公認システム監査人(CSA)     日本本システム監査人協会(SAAJ)
 公認情報システム監査人(CISA)   Information System Audit and Cntrol Association

情報セキュリティ監査関係
 公認情報セキュリティ監査人(CAIS) 日本情報セキュリティ監査協会(JASA)
 情報セキュリティ専門監査人    日本システム監査学会

情報セキュリティ専門家
 公認情報セキュリティマネージャ(CISM)
                  Information System Audit and Cntrol Association
 公認情報システムセキュリティ専門家(CISSP) (ISC)2

その他
 ISMS審査員            日本情報処理開発協会
 

その他にもプライバシーマーク関係とかもあるのですが、私見としては、上記資格とは色合いが違うと思います。同じ理由で、システム監査技術者も同様です。

いずれにしてもリスクを扱うことには相違はないのですが、では何が違うのか

システム監査関係 (CISA、CSA)
 対象は情報システム/IT、並びに関係するプロセスに対する監査
 下記、情報セキュリティ監査とは、情報システム/ITに関して相互補完
 関係にある。(情報セキュリティ監査の結果を利用することもある)

情報セキュリティ監査関係
 対象は情報セキュリティ並びに関係するプロセスに対する監査
 上記、システム監査とは、情報システム/ITに関して相互補完関係にある。
 (システム監査の結果を利用することもある)

情報セキュリティ専門家
 監査ではなく、企業/組織内での情報セキュリティの管理者、専門家。

各々の分野の相違は割りと明確だと思います。では、分野内の各資格の相違は
というと・・・・CISAとCSA、CAISと情報セキュリティ専門監査人には、正直
よく判りません。私自身は、CISAとCAISを取得しているのですが、CSAと情報
セキュリティ専門監査人は制度を良く知らないので、比較できません。
言えるのは、CISAとCAISは、保有者同士、認定団体同士の交流もあり、資格も相互補完的なので、双方を取得するメリットは感じます。逆に言えば、CISAとCSAを同時に維持するメリットは感じないということです。

CISMとCISSPの場合は、前者がどちらかというと情報セキュリティの維持管理やプロセスの運用に重きがあり、後者が技術的な実装面を重視しているという
印象があります。いずれにしても情報セキュリティの管理者には、必要な素養
であることには相違はないです。

では、どの資格を目指すべきか。以下は私見ですし、現在の状況を基にしています。将来は、変わることのあるこを前置きしておきます。

まず、既にCISAを持っている人は、CSAを同時に維持するメリットは少ないように思います。また、逆もまた然りです。双方とも資格維持制度があり、ほぼ同じ条件です。同じ分野の資格を維持するのにかかる労力やコスト負担を考えれば、どちらか一つを取得しておけば充分であろうと思います。

CAISと情報セキュリティ専門監査人ですが、上記と同じ理由で双方を同時に維持するメリットはありません。CISAやCSAであるならば相互補完的であるので、労力やコストを負担するメリットはあろうかと思います。

CISMとCISSPですが、同時に保持することについては上記と同じです。他の資格との相互補完を考慮すべきでしょう。

では、メリットのある組合せはなんでしょうか。

資格維持/労力面
 認定団体が同じですから、CISAとCISMが最もメリットがでます。例えば、ISACA東京支部の月例会に出席すれば、双方の資格維持のポイントにできます。

相互補完
 CISA/CSAのどちらかとCAIS/情報セキュリティ専門監査人どちらか
 CISA/CSAのどちらかとCISM/CISSPのどちらか
 CISM/CISSPのどちらかとCAIS/情報セキュリティ専門監査人のどちらか
 お互いにかぶらない組合せがいいのではないでしょうか。

コスト
 CISAとCSIMは、最もコストメリットがないかも。

私自信は、CISA/CSIM/CAISとISMS審査員補です。JASAとISACAは、双方の役員の兼務者も少なくなく、交流もあるのでメリットを感じています。ISMS審査員補は、まあ会社の費用負担なので、まあいいかなぁというところです。

どの資格が良く、どの組合せが一番ということは言えません。自分に必要な資格をメリットある組合せで取得しましょう、ということでないでしょうか。
曖昧で締りの無い結論ですね。 m(_ _;)m  あしからず

1 件のコメント:

  1. SECRET: 1
    PASS: 98578e038a2deb1b4523f36f4d87c7be
    はじめまして。島田と申します。
    私は、大学等の高等教育機関に就職したく、昨年会社を退職しました。退職した会社では、社内のセキュリティ管理者を担当していましたが、資格の必要性がなく、これまで資格を取得したことがありませんでした。しかし、このブログを見て、就職するにあたって、資格が必要だと感じました。私は、まず、はじめに取得すべき資格としてITコーディネーターを考えていますが、セキュリティ管理者としては何の資格から取得していけばよいか教えて頂けないでしょうか?

    返信削除