1-4 情報セキュリティ諸規程の策定
概要 (引用)
情報セキュリティに関連する諸規程の策定及び改定について,必要な指導・助言を行い,支援する。
事業継続に関する計画の策定及び改定について,必要な指導・助言を行い,支援する。
要求される知識
・ 法令,規制,規格に関する知識
・ ITの動向(クラウドコンピューティング,仮想化,モバイル,組込みシステム,Web技術,AI(生成AIを含む),ビッグデータ,IoTなど)及びその情報セキュリティへの影響に関する知識
・ 事業継続に関する知識要求される技能
・ 業務プロセス,業務手順を踏まえた上で,情報セキュリティ諸規程で定めるべき事項を検討する能力
・ 検討した事項及びその必要性を説明する能力
・ 法令,規制,規格の変化やITの動向を踏まえて情報セキュリティ諸規程をレビューする能力- 引用元
- 情報処理推進機構 「情報処理安全確保支援士試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.2.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf
情報処理安全確保支援士の諸規程・BCP策定における役割
情報処理安全確保支援士は、組織が情報セキュリティの確保と事業継続を実現できるように、関連する規程や計画の策定・改定を支援する専門家です。
情報セキュリティポリシーに基づいた実効性ある諸規程と、事故や災害発生時でも業務を継続・復旧するためのBCP(事業継続計画)の整備において、専門的知見から助言・指導を行います。
主な支援内容
1. 情報セキュリティ諸規程の策定・改定支援
- 経営者が策定した情報セキュリティ基本方針をもとに、組織全体のルールや手順書(実施手順)を整備する支援
- 規程例:情報資産管理規程、アクセス制御規程、持出機器管理規程、ログ管理規程、情報漏えい対応規程など
- 関連する法令やガイドライン(個人情報保護法、ISMSなど)に準拠するよう助言
- 実効性ある規程となるよう、組織構造や業務実態に即した現実的な内容に落とし込む
2. 事業継続計画(BCP)の策定・改定支援
- 災害やサイバー攻撃、設備障害などに備えて、重要業務を中断させず、あるいは迅速に復旧させるための計画の策定支援
- 事業影響分析(BIA)、リスク評価、復旧戦略の策定、訓練・見直しまで含めたPDCAサイクルの確立支援
- セキュリティ事故発生時の対応手順や責任体制の整備(インシデント対応計画やCSIRT運用)の助言も行う
支援のポイント
- 組織の情報セキュリティマネジメント体制の中核として、規程・計画は常に最新かつ有効である必要がある
- 形式的な整備ではなく、従業員が理解し実践できる運用可能な内容とすることが重要
- 教育・訓練の実施や見直しの仕組みまで含めて継続的改善を支援する
まとめ
情報処理安全確保支援士は、情報セキュリティに関する諸規程および事業継続計画の策定・改定に対して、組織の実情やリスクに応じた必要な指導・助言を行い、規程や計画が実効性を持ち、継続的に改善されるよう支援する。
