CDPSE:ISACAのプライバシーに係るエンジニアの新しい資格
こんにちは、丸山満彦です。
ほぼ2週間前のプレスリリースですが、ISACAがプライバシーに係るエンジニアの新しい資格である、Certified Data Privacy Solutions Engineer (CDPSE) を作り、早期導入プログラム(Early Adoption Program)を始めましたね。。。
● ISACA
資格についての説明は、
試験内容の概要は、
Domain 1: Privacy Governance (34%) | ドメイン1:プライバシーガバナンス(34%) | ||
A. | Governance | A. | ガバナンス |
1 | Personal Data and Information | 1 | 個人データと個人情報 |
2 | Privacy Laws and Standards across Jurisdictions | 2 | 法域を超えたプライバシー法とプライバシー基準 |
3 | Privacy Documentation (e.g., Policies, Guidelines) | 3 | プライバシーに関連文書(ポリシー、ガイドラインなど) |
4 | Legal Purpose, Consent, and Legitimate Interest | 4 | 法的目的・同意・正当な利益 |
5 | Data Subject Rights | 5 | データ主体の権利 |
B. | Management | B. | 経営陣 |
1 | Roles and Responsibilities related to Data | 1 | データに関する役割と責任 |
2 | Privacy Training and Awareness | 2 | プライバシーに関する教育・啓発 |
3 | Vendor and Third-Party Management | 3 | ベンダー・委託先等の管理 |
4 | Audit Process | 4 | 監査プロセス |
5 | Privacy Incident Management | 5 | プライバシーインシデント管理 |
C. | Risk Management | C. | リスク管理 |
1 | Risk Management Process | 1 | リスクマネジメントプロセス |
2 | Privacy Impact Assessment (PIA) | 2 | プライバシー影響評価(PIA) |
3 | Threats, Attacks, and Vulnerabilities related to Privacy | 3 | プライバシーに関する脅威、攻撃、脆弱性 |
Domain 2: Privacy Architecture (36%) | ドメイン2:プライバシー・アーキテクチャ(36%) | ||
A. | Infrastructure | A. | インフラストラクチャー |
1 | Technology Stacks | 1 | 技術スタック |
2 | Cloud-based Services | 2 | クラウド型サービス |
3 | Endpoints | 3 | エンドポイント |
4 | Remote Access | 4 | リモートアクセス |
5 | System Hardening | 5 | システム堅牢化 |
B. | Applications and Software | B. | アプリケーションとソフトウェア |
1 | Secure Development Lifecycle (e.g., Privacy by Design) | 1 | セキュア開発ライフサイクル(例:プライバシー・バイ・デザイン) |
2 | Applications and Software Hardening | 2 | アプリケーションとソフトウェア堅牢化 |
3 | APIs and Services | 3 | APIとサービス |
4 | Tracking Technologies | 4 | トラッキング技術 |
C. | Technical Privacy Controls | C. | 技術的なプライバシー制御 |
1 | Communication and Transport Protocols | 1 | 通信プロトコルとトランスポートプロトコル |
2 | Encryption, Hashing, and De-identification | 2 | 暗号化、ハッシュ化、非識別化 |
3 | Key Management | 3 | 鍵管理 |
4 | Monitoring and Logging | 4 | モニタリング・ロギング |
5 | Identity and Access Management | 5 | アイデンティティ・アクセス管理 |
Domain 3: Data Cycle (30%) | ドメイン3:データサイクル(30%) | ||
A. | Data Purpose | A. | データの目的 |
1 | Data Inventory and Classification (e.g., Tagging, Tracking, SOR) | 1 | データのインベントリと分類(例:タグ付け、トラッキング、SOR) |
2 | Data Quality and Accuracy | 2 | データ品質と正確性 |
3 | Dataflow and Usage Diagrams | 3 | データフローと使用方法図 |
4 | Data Use Limitation | 4 | データ使用制限 |
5 | Data Analytics (e.g., Aggregation, AI, Machine Learning, Big Data) | 5 | データ分析(アグリゲーション、AI、機械学習、ビッグデータなど |
B. | Data Persistence | B. | データの永続性 |
1 | Data Minimization (e.g., De-identification, Anonymization) | 1 | データの最小化(例:非識別化、匿名化) |
2 | Data Migration | 2 | データの移行 |
3 | Data Storage | 3 | データの保存 |
4 | Data Warehousing (e.g., Data Lake) | 4 | データウェアハウジング(データレイクなど) |
5 | Data Retention and Archiving | 5 | データの保持とアーカイブ |
6 | Data Destruction | 6 | データの廃棄 |
Secondary Classification Task Statements
1. | Identify the internal and external requirements for the organization's privacy programs and practices. | 1. | 組織のプライバシー保護プログラムと実践に対する内部および外部の要求事項を特定する。 |
2. | Participate in the evaluation of privacy policies, programs, and policies for their alignment with legal requirements, regulatory requirements, and/or industry best practices. | 2. | プライバシーポリシー、プログラム、および法的要件、規制要件、業界のベストプラクティス等に関するポリシーの整合性の評価に参加する。 |
3. | Coordinate and/or perform privacy impact assessment (PIA) and other privacy-focused assessments. | 3. | プライバシー影響評価(PIA)およびその他のプライバシーに焦点を当てた評価の調整、実施をする。 |
4. | Participate in the development of procedures that align with privacy policies and business needs. | 4. | 個人情報保護方針やビジネスニーズに沿った手順の開発に参加する。 |
5. | Implement procedures that align with privacy policies. | 5. | プライバシーポリシーに沿った手順を実施する。 |
6. | Participate in the management and evaluation of contracts, service levels, and practices of vendors and other external parties. | 6. | ベンダーやその他の外部関係者との契約、サービスレベル、慣行の管理と評価に参加する。 |
7. | Participate in the privacy incident management process. | 7. | プライバシーインシデント管理プロセスに参加する。 |
8. | Collaborate with cybersecurity personnel on the security risk assessment process to address privacy compliance and risk mitigation. | 8. | サイバーセキュリティ担当者と協力し、プライバシーのコンプライアンスとリスク軽減の対応のためのセキュリティリスクアセスメントプロセスに参加する。 |
9. | Collaborate with other practitioners to ensure that privacy programs and practices are followed during the design, development, and implementation of systems, applications, and infrastructure. | 9. | 他の実務者と協力し、システム、アプリケーション、インフラストラクチャを設計、開発、実装している間のプライバシープログラムやプラクティスが遵守されていることを確認する。 |
10. | Evaluate the enterprise architecture and information architecture to ensure it supports privacy by design principles and considerations. | 10. | 企業アーキテクチャと情報アーキテクチャを評価し、設計の原則と考慮事項によるプライバシーをサポートしていることを確認する。 |
11. | Evaluate advancements in privacy-enhancing technologies and changes in the regulatory landscape. | 11. | プライバシーを強化する技術の進歩と規制の変化を評価する。 |
12. | Identify, validate, and/or implement appropriate privacy and security controls according to data classification procedures. | 12. | データの分類手順に従って、適切なプライバシーおよびセキュリティ管理を特定、検証、実装する。 |
13. | Design, implement, and/or monitor processes and procedures to keep the inventory and dataflow records current. | 13. | インベントリとデータフローの記録を最新の状態に保つためのプロセスと手順を設計、実装、監視する。 |
14. | Develop and/or implement a prioritization process for privacy practices. | 14. | プライバシー慣行の優先順位付けプロセスを開発、実施する。 |
15. | Develop, monitor, and/or report performance metrics and trends related to privacy practices. | 15. | プライバシー保護の実践に関連したパフォーマンス指標および傾向を開発、監視、報告する。 |
16. | Report on the status and outcomes of privacy programs and practices to relevant stakeholders. | 16. | 関連する利害関係者に対して、プライバシープログラムと実践の状況と結果を報告する。 |
17. | Participate in privacy training and promote awareness of privacy practices. | 17. | プライバシー保護に関する研修に参加し、プライバシー保護の意識向上を促進する。 |
18. | Identify issues requiring remediation and opportunities for process improvement. | 18. | 改善が必要な問題やプロセス改善の機会を特定する。 |
« 日本からアップロードされたサンプルから見つかったRamsayはインターネットに接続されていないネットワークでの動作を可能にする? by ESET | Main | NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices »
Comments