posted

「情報セキュリティ管理」を解説!情報セキュリティマネジメント試験の科目別勉強法

「情報セキュリティ管理」を解説!情報セキュリティマネジメント試験の科目別勉強法

皆さん、こんにちは。
この連載「情報セキュリティマネジメント試験の科目別勉強法」では、情報セキュリティマネジメント試験の合格ラインである「60点」以上を短期間で効率よく確実に取るための具体的な勉強法を、出題科目ごとに説明しています。

連載3回目となる今回は、情報セキュリティマネジメントの試験科目「情報セキュリティ管理」の特徴や勉強法について解説していきます。

前回と、この後続く4・5回目とあわせ、配点の大部分を占める「重点分野」に該当する大事な科目ですので、しっかりと理解していきましょう。

情報セキュリティマネジメント試験の科目別勉強法
1.【重点分野】情報セキュリティ全般
2. 【重点分野】情報セキュリティ管理 ←今回はココ
3. 【重点分野】情報セキュリティ対策
4. 【重点分野】情報セキュリティ関連法規
5. 【関連分野】テクノロジ
6. 【関連分野】マネジメント
7. 【関連分野】ストラテジ
8. 午後試験
広告

試験科目「情報セキュリティ管理」の概要

皆さんは普段、家庭や職場でルールを作ることがあるかと思いますが、それを関係者全員に理解させ、きちんと守らせることの難しさを痛感した経験がある方はいらっしゃいませんか?
情報セキュリティもまた然りで、情報セキュリティのしくみや技術を作ること自体より、実は「管理・運用」することのほうが難しいという側面があります。

その情報セキュリティの「管理・運用」といった管理技術の構築方法をまとめたのが、今回紹介する「情報セキュリティ管理」という科目です。

試験科目「情報セキュリティ管理」の出題傾向

重点分野である「情報セキュリティ管理」は、直近の過去問において、午前問題全50問中、14%にあたる7問前後出題されています。

年度によって出題数にばらつきがあるため予測がしづらいですが、20%近く出題された年もあるので侮れない科目です。

「情報セキュリティ管理」は、重点分野の中でも特に難しい用語や聞き慣れない規則などが飛び交う科目ですので、辛抱強く乗り越えていきましょうね。

試験科目「情報セキュリティ管理」のキーワードと勉強法

ではここからは「情報セキュリティ管理」の具体的なキーワードや勉強法について見ていきましょう。

頻出ワード①「ISMS」と「PDCA」をセットで押さえよう

ISMSとは「情報セキュリティマネジメントシステム」の略です。
情報セキュリティを適切に管理するためにはマンパワーでは到底不可能で、管理するためのしくみであるマネジメントシステム、すなわちISMSが必要です。

このISMSがしっかりと構築・運用されている組織は、セキュリティ管理が万全と言えるでしょう。

ただしせっかく立ち上げたしくみでも、見直しをせずにずっと放置してしまうと、変化が激しいIT社会ではすぐに淘汰されてしまいます。そこで必要なのが、以下にある「PDCA」サイクルです。

頻出ワード「派遣」と「請負」を押さえよう

「PDCA」は普段の仕事でもよく聞く言葉ですが、情報セキュリティを管理するためにも重要な考え方です。

ISMSもPDCAサイクルに則って定期的に見直しと改善を実施することが、日々進化する情報セキュリティの脅威から身を守るために必要と言えます。
この流れはとても簡単なので、「ISMS」と「PDCA」は、さくっとセットで覚えてしまいましょう!

頻出ワード②「ISMSの規格」を押さえよう

ISMSを構築して運用するには、皆がそれぞれ好き勝手にやればいいというものではなく、指標となる標準ルール、つまりは規格が必要です。

ISMS規格の中でも「27000シリーズ」が試験にはよく出題されます。
下表に示した3つの規格が「27000シリーズ」の代表的な規格です。

規格 内容
JISQ27000 ISMSで用いる用語および定義の規格
JISQ27001 ISMSを構築して運用するための要求事項
JISQ27002 ISMS実行のための規範

試験には、それぞれの規格に定められている内容をダイレクトに問う問題が多く出題されるので、3つの規格の違いや規格内で定義されていることをしっかり理解しましょう。

テキストではさらっとしか扱われていないこともあるので、理解しやすいように自分なりにノートに書き出してまとめてみるといいですよ。

なお、各規格の内容を丸暗記するのは量が多く非効率なので、概要を書き出して理解したあとは、過去問や予想問題集を使って繰り返し解くアウトプット方式の勉強法がおすすめです。

実は、上記規格に関する問題が毎回複数出ているので、パターンをつかめれば得点を稼ぐチャンスになります。しっかり覚えていきましょう。

最重要ワード「リスク」を押さえよう

ISMSがしっかりと構築されていても、残念ながら問題は必ず起きるのが実情です。
しかし問題が起こってから対処していては遅いので、潜在的な危険要因を事前に洗い出し、対処する際に必要になるのが「リスクアセスメント」と言われるもの。

この「リスクアセスメント」とは、リスクを洗い出して特定し、分析・評価する一連の活動のことで、リスクの発生確率や損害を元に数値化し、受容できるかどうかを判断するためのプロセスを指します。

その他にも、「リスク対応」「リスク対策」など、情報セキュリティを管理するうえでリスクとの向き合い方はとても重要です。

「リスク」という用語は、情報セキュリティマネジメント試験全体でも頻出のワードですので、どのテキストでも重点的に取り上げられています。
テキストにこの用語が出てきたらその部分を絶対に取りこぼさないようにし、テキストを繰り返し丁寧に読んで、しっかりと頭に入れていきましょう。

もっとわかりやすく解説してほしい人はオンライン講座を活用

今回の記事を読んで、難しいキーワードに心が折れそうになっている方もいるのではないでしょうか。
「1人じゃ挫折しそう……」そんなあなたには、オンライン動画講座を活用した勉強法もおすすめです。

1人では理解しがたい内容も、動画講座なら講師が噛み砕いて説明してくれるので安心ですよ。特に独学で学ぶという人は、ぜひ積極的に利用してみてください!

情報セキュリティマネジメント講座

「情報セキュリティマネジメント」とはどんな資格?

今回は、情報セキュリティマネジメント試験の重点分野である「情報セキュリティ管理」のポイントと勉強法について解説しました。

「情報セキュリティ管理」は、組織のマネジメントレベルの話ですので、あまり身近に感じられない科目かもしれません。
しかし、セキュリティの課題を解決できる人材になるためには、必要不可欠の内容と言えます。組織で活躍するためにも覚えておいて損はありませんし、マネジメントに興味のある方は、この機会に力を入れて学ぶのもよいでしょう。

さて次回は、3つめの重点分野である「情報セキュリティ対策」について解説します。次回もお楽しみに。

無料登録でオンラインの資格講座を体験しよう!

資格受け放題の学習サービス『オンスク.JP』では様々な資格講座のオンライン学習が可能です。
最短20秒の無料会員登録で、各講座の講義動画・問題演習の一部が無料体験できます。

※無料会員は、決済情報入力なしでご利用可能。
※自動で有料プランになることはありません。

無料体験でできること

無料会員登録

オンスク.JP 講座一覧

関連する記事が他にもあります

広告

お友達紹介特典URL発行

ログインが必要です

ページトップへ