2008年8月21日木曜日

「CSO/CISO」の人材像 - 長谷川さんのBlog記事から

CISSPホルダーの長谷川さんが、ご自分のBlog’「CSO/CISO」の人材像’と題した記事を連日投稿しています。この投稿、CSO/CISOの人材像、ISACAがこれから広めようとしている新たな認定制度、Certified in the Governance of Enterprise IT(CGEIT)にも関連しているので、興味深く拝見しました。

ISACA東京支部CGEIT委員会委員長として、この新しい認定制度を日本国内で普及促進していく責務があるのですが、CISAやCISMと異なり、そのバックボーンが未だ明確でないので、その明確化から始めなければと考えています。


情報セキュリティプロフェッショナルを目指そう


公認情報システム監査人(CISA)の場合、システム監査という職能職域が、このJ-SOX対応という潮流の中で、かなり認知されたと思います。システム監査は、財務報告に係る内部統制の重要な構成要素であるIT統制を評価するという、社会的にも明確な位置付けが成されたといえると、私は考えています。事実上の法定監査だと言い切る業界関係者も少なくありません。そのシステム監査の専門家を認定するという事にCISAの価値の源泉があります。それは、ここ3年ほどのCISA試験受験者の激増が、その証しでしょう。
公認情報セキュリティマネージャ(CISM)は、正直CISSPに押され低迷しているのが現状かと思います(ISACA東京支部CISM委員会の皆さん、ゴメンなさい。正直な感想です)。これからの建て直しが必要かと思います。しかしながら、CISPPホルダーの順調な増加、情報セキュリティへの関心の高まり、保証型情報セキュリティ監査、情報セキュリティ格付制度の検討など、認定制度の土台は出来上がりつつあると思います。情報セキュリティに関する専門的知見をもった管理者を認定することにCISMの価値があるといえるでしょう(あくまで私見で、ISACA東京支部の公式見解ではありません)。
さて、CGEITですが、ITガバナンスの関する専門的知見、職務経験を有する人材を認定するのですが、そのITガバナンスそのものの定義、職能、職域などの共通認識、コンセンサスがあるとは言えません。私は、ITマネジメントとはITガバナンスでない、と認識しています。ITや関連する領域を管理するという職能はITマネジメントであり、それを以ってITガバナンスとは言えません。事実、ISACAがCGEIT認定に要求する職務のドメインも、それ以上のことを要求しています。

ISACAが要求するCGEIT専門領域(ドメイン)

Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定)



まずは、CISAやCISMのように職能職域を明らかにいていくことが、CGEIT普及促進の鍵を握っているいると考えています。そして、これは支部CGEIT委員の共通認識でもあります。で、そんなことを日々考えてますので、長谷川さんのBlog記事、興味深く読ませていただきました。

0 件のコメント:

コメントを投稿