HOME»情報処理安全確保支援士掲示板»試験講評とRISSの方向性
投稿する
»[1306] R3春 午後I 問1 設問3(2), 設問4 投稿数:3
»[1305] 分野別と試験回の指定について 投稿数:1
試験講評とRISSの方向性 [1308]
GinSanaさん(No.1)
★SC ブロンズマイスター
試験講評が出てました。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05a_sc_pm_cmnt.pdf
問1-3までの従来の講評の書き方とは違って論述形式試験のような講評になってましたが、
SEプラスが「【情報処理安全確保支援士】改訂後初の午後試験を振り返る!&近年の情報処理技術者試験の出題傾向とは? 」でユーチューブで出していたのを見ていて、三好が
スペシャリスト時代はテクニカルに生きるんだと棲み分けをセキュマネとしていたなら、セキュマネに「具体的な対策」を問うていてもおかしくはないはずですが、実際はそうではない。
結局その垣根をRISS導入で崩して、総括的になっていく・・・というよりマネジメントを担ってほしい、ということは受け取れました。
なおのことじゃあセキュマネはなんのためにいるんだよ、という感じはしてるんですが。マネジメントをやるからセキュマネじゃないのかよ、といいたいところですが、方針が変わったようです。
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05a_sc_pm_cmnt.pdf
問1-3までの従来の講評の書き方とは違って論述形式試験のような講評になってましたが、
リスクアセスメントは,組織の秘密情報を保護するための基本的なプロセスであり(・・・)情報処理安全確保
支援士(登録セキスぺ)の専門性が発揮されるべき重要なプロセスであるので,リスクアセスメントの流れに
ついて理解するとともに(・・・)
講評でRISSの専門性について触れたのは初めてでしょうかね。今までこういう記述は見たことがなかったです。支援士(登録セキスぺ)の専門性が発揮されるべき重要なプロセスであるので,リスクアセスメントの流れに
ついて理解するとともに(・・・)
SEプラスが「【情報処理安全確保支援士】改訂後初の午後試験を振り返る!&近年の情報処理技術者試験の出題傾向とは? 」でユーチューブで出していたのを見ていて、三好が
平成13年のセキュリティアドミニストレータ時代で、リスクアセスメントとかリスク評価がマネジメントの話で、これらをメインで作問していた。
が、18年にテクニカルエンジニアができて、アドミニストレータと棲み分けをはじめた。
21年のセキュリティスペシャリストで、マネジメントよりテクニカルを重視することを打ち出した。つまり、アセスとかはそこまで重視しないということ。
26年にセキュマネができた。完全にマネジメント系はこっちでやるということになった。これ以降アセスとかのマネジメントの問題は(あまり)出ていない。
それが今回復活した。
マネジメントのフレームはリスク特定、リスク分析、リスク評価(・・・とPMBOKでしょっちゅう聞く話)だが、そのなかで具体的な対策が問われてきている。
というような話をしていましたが、が、18年にテクニカルエンジニアができて、アドミニストレータと棲み分けをはじめた。
21年のセキュリティスペシャリストで、マネジメントよりテクニカルを重視することを打ち出した。つまり、アセスとかはそこまで重視しないということ。
26年にセキュマネができた。完全にマネジメント系はこっちでやるということになった。これ以降アセスとかのマネジメントの問題は(あまり)出ていない。
それが今回復活した。
マネジメントのフレームはリスク特定、リスク分析、リスク評価(・・・とPMBOKでしょっちゅう聞く話)だが、そのなかで具体的な対策が問われてきている。
スペシャリスト時代はテクニカルに生きるんだと棲み分けをセキュマネとしていたなら、セキュマネに「具体的な対策」を問うていてもおかしくはないはずですが、実際はそうではない。
結局その垣根をRISS導入で崩して、総括的になっていく・・・というよりマネジメントを担ってほしい、ということは受け取れました。
なおのことじゃあセキュマネはなんのためにいるんだよ、という感じはしてるんですが。マネジメントをやるからセキュマネじゃないのかよ、といいたいところですが、方針が変わったようです。
2024.01.13 22:59
momochanさん(No.2)
IPAのサイトで、SCの期待する技術水準を見てみると「情報セキュリティマネジメントシステム、情報セキュリティリスクアセスメント及びリスク対応に関する知識をもち、情報セキュリティマネジメントについて指導・助言できる」という記載がありました。
試験要綱で午後の出題範囲についてどのように記載されているかも見てみました。
●2019年までの試験要綱
1.情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること
2.情報セキュリティの運用に関すること
3.情報セキュリティ技術に関すること
4.開発の管理に関すること
5.情報セキュリティ関連の法的要求事項などに関すること
●2020年から現在までの試験要綱
1.情報セキュリティマネジメントの推進又は支援に関すること
2.情報システムの企画・設計・開発・運用におけるセキュリティ確保の推進又は支援に関すること
3.情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること
4.情報セキュリティインシデント管理の推進又は支援に関すること
試験要綱で午後の出題範囲についてどのように記載されているかも見てみました。
●2019年までの試験要綱
1.情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること
2.情報セキュリティの運用に関すること
3.情報セキュリティ技術に関すること
4.開発の管理に関すること
5.情報セキュリティ関連の法的要求事項などに関すること
●2020年から現在までの試験要綱
1.情報セキュリティマネジメントの推進又は支援に関すること
2.情報システムの企画・設計・開発・運用におけるセキュリティ確保の推進又は支援に関すること
3.情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること
4.情報セキュリティインシデント管理の推進又は支援に関すること
2024.01.14 12:08
GinSanaさん(No.3)
★SC ブロンズマイスター
momochanさん(No.2)
さりげなく「5.情報セキュリティ関連の法的要求事項などに関すること」が消えたなと思ったら、たしかに最近コロナの年になってから過去問で法律関係の話は午後聞かなくなったんですよね。RISSの研修では当然聞くんですが。
「情報セキュリティマネジメントシステム、情報セキュリティリスクアセスメント及びリスク対応に関する知識をもち、情報セキュリティマネジメントについて指導・助言できる」という水準自体は、たしかスペシャリスト時代も似たようなことは謳われていた気がします。29年からいきなりアセスもやっぱりやれよ、とかにはならなかったですが、そのわりにアセスみたいなマネジメントプロセスを今まで面と向かってそこまで問わないで来たのが今回試験的に復活させて(解答のフレームは)自由記述で問う姿勢になったのは、RISSに現段階でマネジメントプロセスが手薄だからもう少し何とかしてくれや、という意思の表れなのかもしれません。
ただ、2問も3問も今後こんなのが出るとは思えないので、軌道修正くらいにとらえてはいます。
さりげなく「5.情報セキュリティ関連の法的要求事項などに関すること」が消えたなと思ったら、たしかに最近コロナの年になってから過去問で法律関係の話は午後聞かなくなったんですよね。RISSの研修では当然聞くんですが。
「情報セキュリティマネジメントシステム、情報セキュリティリスクアセスメント及びリスク対応に関する知識をもち、情報セキュリティマネジメントについて指導・助言できる」という水準自体は、たしかスペシャリスト時代も似たようなことは謳われていた気がします。29年からいきなりアセスもやっぱりやれよ、とかにはならなかったですが、そのわりにアセスみたいなマネジメントプロセスを今まで面と向かってそこまで問わないで来たのが今回試験的に復活させて(解答のフレームは)自由記述で問う姿勢になったのは、RISSに現段階でマネジメントプロセスが手薄だからもう少し何とかしてくれや、という意思の表れなのかもしれません。
ただ、2問も3問も今後こんなのが出るとは思えないので、軌道修正くらいにとらえてはいます。
2024.01.14 17:34
momochanさん(No.4)
GinSanaさん、
仰る通りスペシャリスト時代のIPAサイトにも、期待する技術水準で謳われていました。
「情報セキュリティ対策のうち、物理的・管理的な対策について基本的な知識と適用場面に関する技術をもつとともに、情報セキュリティマネジメントの基本的な考え方を理解し、これを適用するケースについて具体的な知識をもち、評価できる」
SCの業務と役割については当時のサイトでは4項目中の1番目には「情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する」とありましたが、現在のサイトでは4項目中の1番目に「情報セキュリティ方針及び情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の策定、情報セキュリティリスクアセスメント及びリスク対応などを推進又は支援する」となっていました。
仰る通りスペシャリスト時代のIPAサイトにも、期待する技術水準で謳われていました。
「情報セキュリティ対策のうち、物理的・管理的な対策について基本的な知識と適用場面に関する技術をもつとともに、情報セキュリティマネジメントの基本的な考え方を理解し、これを適用するケースについて具体的な知識をもち、評価できる」
SCの業務と役割については当時のサイトでは4項目中の1番目には「情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する」とありましたが、現在のサイトでは4項目中の1番目に「情報セキュリティ方針及び情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の策定、情報セキュリティリスクアセスメント及びリスク対応などを推進又は支援する」となっていました。
2024.01.14 18:30
その他のスレッド
»[1307] R1秋 午後1問2 設問2(3) 投稿数:3»[1306] R3春 午後I 問1 設問3(2), 設問4 投稿数:3
»[1305] 分野別と試験回の指定について 投稿数:1