情報セキュリティマネジメント試験(SG)を受けて来ました。
昨年、情報処理安全確保支援士試験(SC)に合格済みなのですがSCはどちらかというとセキュリティの専門家として技術的な部分の深い知識が求められるのに対して、SGは名前のとおりマネジメント的な部分が広く問われてる試験です。
IPAの公式サイトではSGの対象者像は以下のとおりとされています。
情報システムの利用部門にあって、情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者
出題傾向でも例えばインシデントに対してSCは技術的な原因究明と対処が問われるのに対して、SGは組織としてインシデントをいかに予防・再発防止を図るかといった命題が問われます。
SCの午前2と午後1から高度な技術的要素を排除した感じですかね。
午前はAP以上の情報処理試験を受験したことがある人なら楽勝かもしれませんが新しい知識が問われたりもします。技術的な問題も少しだけ出題されます。
午後はマネジメントに特化した内容です。1時間半で3ページくらいの設問が3つと意外とボリューム感がある内容でした。
この試験、開始当初は異常な合格率で評価はいまいちな風潮ですが問題の質も良く、総務部門や経営管理部門の方にはもっと評価されても良い試験だと思いますし、AP以上の資格保有者でも情報セキュリティに関する広範な知識を有する証明として取得しておいて損はないと思います。