CISM 勉強方法メモ
2019 年 11 月に CISM に合格したので、勉強方法のメモを残します。
取得の動機
前職でセキュリティマネジメントとコーポレートガバナンスに関する業務に関わる中で少なからずボタンの掛け違いが起こることがあり、セキュリティガバナンスに対する考え方を整理しておきたいと考えたためです。
勉強方法
サマリとしては ISACA 公認の問題集を一通り解いたということになります。
得意・苦手分野を整理するために問題集を正答率を出しながら解きました。私の場合は以下のような感じでした。
情報セキュリティガバナンス:60.9%
情報リスク管理:67.2%
情報セキュリティプログラムの開発と管理:66.4%
情報セキュリティインシデントの管理:66.5%
間違えた問題に関しては正答理由にある内容をメモに残し、自分の経験でこれまでどうだったか、どう判断したかなどを振り返ります。1 時間 30 問ペースで全部で 1000 問あるので、おおよそ 40 時間程度の勉強量だと思います。
次に、正答理由の内容をメモした内容を再構成し、各領域ごとにまとめを作りながら理解を進めていきました。ISACA 特有の用語や考え方がいくつかあるので、その部分はレビューマニュアルを参照しました。
再構成したドキュメントの標題だけまとめておきます。
[GRC(ガバナンス・リスク・コンプライアンス)]
情報セキュリティガバナンス:
◆ セキュリティポリシー(方針)
◆ スタンダード(標準)
◆ プロシージャ / ガイドライン
◆ セキュリティアーキテクチャ
◆ 重要業績評価指標(Key Performance Indicators, KPI)
◆ 目標達成指標(key goal indicator, KGI)
◆ 重要リスク指標(Key Risk Indicator)
規制への準拠:
組織構造とセキュリティ:
セキュリティ戦略:
コントロール目標:
◆ リスク選好度
[情報リスク管理]
データ管理者(データオーナー)/ データ所有者(情報オーナー):
資産の管理:
リスクマネジメント(リスク管理):
◆ 故障モード
◆ Due Care(相当な注意)
◆ Due Diligence(正当な注意)
リスクアセスメント(リスク評価):
◆ 脆弱性評価
リスク分析:
◆ セキュリティレビュー
◆ リスク露出度(エクスポージャー)
意識向上訓練:
[情報セキュリティプログラムの開発と管理]
情報セキュリティプログラムの確立:
ビジネスケース(事業ケース):
予算と費用:
プロジェクト管理:
外部委託:
[情報セキュリティインシデントの管理]
事業継続計画:
◆ 並行テスト(並行復旧テスト)
◆ RTO (Recovery Time Objective)
◆ RPO(Recovery Point Objective)
◆ SDO (Service Delivery Objective)
◆ AIW(Acceptable interruption window: AIW)
◆ MTPD (Maximum Tolerable Period of Disruption) / MTO (Maximum Tolerable Outage) / MTD(Maximum Tolerable Downtime)【同義】
インシデント対応:
◆ エスカレーションプロセス
◆ インシデント対応計画(IRP)
◆ インシデント対応フロー
これらに加えていくつかの技術的なコントロールが話題に出てきます。間違えた問題を中心に要素技術全体のサマリを見直しました。単純な技術要素だけでなく、技術的なコントロールとして戦術的にどのようにリスクを軽減できるかという視点で整理するのが良いかと思います。私の場合は以下のような内容を確認しました。併せて 20 時間程学習したと思います。
[技術的なコントロール]
◆ IT とセキュリティ
◆ IDS
◆ PKI
◆ 暗号化全般
◆ ネットワーク関連
◆ アクセスコントロール
◆ SIEM
◆ 侵入テスト
◆ モバイル管理
◆ その他
最後に問題集についているサンプル試験を実際の試験と同じ条件で回答していきました。正答率は 83% 程度だったと思います。過去一度解いた問題ですが、試験時間の見通しをつけるのには便利です。おおよそ 1 時間で 50 問解いて 3 時間、残り 1 時間を見直しに使えそうという時間戦略の目途が立ちました。
試験について
いつも通り前日に試験会場のロケハンをして、行き方の確認、会場の雰囲気の把握(トイレの場所など)をしました。当日のことは守秘義務もあり書けることはありませんが、個人的には試験の UI が良くできているのが印象的でした。
以上、何かのお役に立てば幸いです。
この記事が気に入ったらサポートをしてみませんか?