【目標】
・情報セキュリティ管理の基本的な考え方を理解する。
・リスク分析と評価などの方法，手順を理解する。
・情報セキュリティ継続の基本的な考え方を理解する。
・情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)の基本的な考え方を理解する。
・情報セキュリティマネジメントシステム(ISMS)の仕組みや情報セキュリティ組織・機関の活動を理解する。

1. 情報セキュリティ管理
   組織の情報セキュリティ対策を包括的かつ継続的に実施するために，情報セキュリティ管理の考え方，情報資産などの保護対象を理解する。
   【用語例】
   情報セキュリティポリシに基づく情報の管理, 情報, 情報資産, 物理的資産, ソフトウェア資産, 人的資産 (人, 保有する資格・技能・経験), 無形資産, サービス, リスクマネジメント (JIS Q 31000), 監視, 情報セキュリティ事象, 情報セキュリティインシデント 物理的資産，ソフトウェア資産
   
2. リスク分析と評価
   a. 情報資産の調査
   情報セキュリティリスクアセスメント及び情報セキュリティリスク対応に当たり, 情報資産(情報システム, データ, 文書ほか)を調査して特定することを理解する。
   
   b. 情報資産の重要性による分類
   機密性，完全性，可用性の側面から情報資産の重要性を検討し, 情報資産を保護するために, 定められた基準に基づいて情報資産を分類することを理解する。
   【用語例】
   機密性，完全性，可用性, 情報資産台帳
   
   c. リスク種類
   調査した情報資産を取り巻く脅威に対するリスクの種類を理解する。
   【用語例】
   財産損失，責任損失，純収益の喪失，人的損失，リスクの種類(オペレーショナルリスク, サプライチェーンリスク, 外部サービス利用のリスク, SNSによる情報発信のリスクほか), ペリル，ハザード，モラルハザード, 年間予想損失額, 得点法, コスト要因
   
   d. 情報セキュリティリスクアセスメント
   リスクを特定し, そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し, 組織が定めたリスク受容基準に基づく評価を行うことを理解する。
   【用語例】
   リスク基準 (リスク受容基準, 情報セキュリティリスクアセスメントを実施するための基準), リスクレベル, リスクマトリックス, リスク所有者, リスク源, リスクアセスメントのプロセス (リスク特定, リスク分析, リスク評価), リスクの定性的分析, リスクの定量的分析
   e. 情報セキュリティリスク対応
   情報セキュリティリスクアセスメントの結果を考慮して, 適切な情報セキュリティリスク対応の選択肢を剪定し, その選択肢の実施に必要な管理策を決定することを理解する。
   
   【用語例】
   リスクコントロール，リスクヘッジ, リスクファイナンシング，リスク回避，リスク共有(リスク移転，リスク分離), リスク保有，リスク集約，残留リスク，リスク対応計画, リスク登録簿, リスクコミュニケーション
   
3. 情報セキュリティ継続
   組織が困難な状況(例えば, 危機又は災害)に備えて, 情報セキュリティ継続(継続した情報セキュリティの運用を確実にするためのプロセス)を組織の事業継続マネジメントシステムに組み込む必要性を理解する。
   【用語例】
   緊急事態の区分, 緊急時対応計画(コンティンジェンシ計画), 復旧計画, 災害復旧, バックアップによる対策, 被害状況の調査手法
   
4. 情報セキュリティ諸規定(情報セキュリティポリシを含む組織内規程)
   情報セキュリティ管理における情報セキュリティポリシの基本的な考え方, 及びそれに従った組織運営を理解する。また, 組織の情報セキュリティ目的, 資産の分類・管理手順, 情報セキュリティ対策基準などを体系的に定めることを理解する。
   【用語例】
   情報セキュリティ方針，情報セキュリティ目的, 情報セキュリティ対策基準，情報管理規程, 秘密情報管理規程, 文書管理規程，情報セキュリティインシデント対応規程(マルウェア感染時の対応ほか), 情報セキュリティ教育の規程, プライバシーポリシ(個人情報保護方針), 職務規程, 罰則の規程, 対外説明の規程, 例外の規程, 規則更新の規程, 規程の承認手続, ソーシャルメディアガイドライン(SNS利用ポリシ)
   
5. 情報セキュリティマネジメントシステム (ISMS)
   組織体における情報セキュリティ管理の水準を高め，維持し，改善していく ISMS ( Information Security Management System ：情報セキュリティマネジメントシステム）の基本的な仕組みを理解する。
   【用語例】
   ISMS適用範囲, リーダシップ, 計画, 運用, パフォーマンス評価, 改善, 管理目的, 管理策(情報セキュリティインシデント管理, 情報セキュリティの教育及び訓練, 法的及び契約上の要求事項の順守ほか), ISMS適合評価制度，ISMS認証, JIS Q 27001 (ISO/IEC27001) , JIS Q 27002 (ISO/IEC27002) ，情報セキュリティガバナンス(JIS Q 27014 (ISO/IEC 27014 ))
6. 情報セキュリティ組織・機関
   不正アクセスによる被害受付の対応，再発防止のための提言，情報セキュリティに関する啓発活動などを行う情報セキュリティ組織・機関の活動を理解する。
   【用語例】
   情報セキュリティ委員会, 情報セキュリティ関連組織(CSIRT，SOC (Security Operation Center)), サイバーセキュリティ戦略本部, 内閣サイバーセキュリティセンター(NISC), IPA セキュリティセンター，CRYPTREC，JPCERT コーディネーションセンター, コンピュータ不正アクセス届出制度, コンピュータウィルス届出制度, ソフトウェア等の脆弱性関連情報に関する届出制度, 情報セキュリティ早期警戒パートナーシップ, J-CSIP (サイバー情報共有イニシアティブ), JVN (Japan Vulnerability Notes), ホワイトハッカー