2009年04月16日
明日からできるISMS強化策:ISMSと5Sのコラボ
いろいろと飛ばしてすいません。<(_ _)>
http://www.insightnow.jp/article/3234
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:57 | コメント (3) | トラックバック
2008年08月07日
セキュリティ事件に気をつけましょう
最近身近なところでセキュリティ事件が立て続けに発生しています。
1件は、ノートパソコンの盗難。
もう1件は、イーコマースサイトへの不正アクセス。
上記は弊社の情報が入っているため先ほど弊社まで
謝罪にこられました。
それほど
そういえば最近大きなセキュリティ事件としては
クレジットカードの情報が不正アクセスによって
盗まれたというものもありましたね。
カード情報約3万件がSQLインジェクションで流出 - アイリスオーヤマ子会社
http://www.security-next.com/008648.html
水面下ではもっと発生していることでしょう。
ぜひ注意ください。
記事内容が良かったので、人気ブログランキングに投票する
yama : 16:06 | コメント (4) | トラックバック
2007年09月18日
世界柔道
世界柔道をチラチラと見ておりました。
ごたごたとしたことがあったようですが
なんとか後半は日本柔道の威信を保てた
結果になったので良かったと思います。
今回取り上げようと思ったのはこの審判に関して。
そう、まさに「ごたごた」したところの話です。
背中がついた、技を返した、足が掛かっていた・・・・
そこに、一本、技あり、有効、効果
という判断をしていく。
判断基準はわかりますが実際の試合になったとき
には非常に難しい判断になったりしますね。
より多くの人が判断をするとなるとなお更
でしょう。
柔道の審判を見ていて、どこかの世界に似ているなあ
と思っているのは私だけでしょうか?
ISOの内部監査員に似ていませんか(笑)
判断基準は
・ISO規格
・法律
・顧客要求
・社内要求
それはわかっているはずですが、実際の判断になると
見る人によって代わってくる。
それらを解決するにはどうしたらよいか?
柔道でもISOでも実は一緒だろうなと思っています。
理想の状態は、チームで実践の「場数を踏む」こと
でしょう。
リアルな「場」では机上では想定できない
ケースが発生します。それらを判断していくことで
判断のスキルをあげていくことになるでしょう。
なのでもう少し具体的に考えると
これまで半年に1回半日かけて実施していた内部監査を
毎月1時間実施し、頻度を増やすことで「場」を増やす
と言った策が考えられます。
さらに
理想の状態よりは、若干程度は落ちるものの、内部監査員
の判断基準を一致させる「場」を作るための方法があります。
それは、御社にあったケースをチームで解いていく、です。
「場」を設け、判断基準をあわせていく、これをこなして
行くだけで判断基準の一致度はずいぶん変わるでしょう。
個々の判断の癖なども事前につかむこともできます。
それらをお手伝いさせていただくサービスを用意してみました。
ケース演習のみ3時間講習:対応規格:9001/14001/27001/Pマーク
http://www.isosoken.com/seminar/002/post.php
ケース問題作成代行(10問):対応規格:9001/14001/27001/Pマーク
http://www.isosoken.com/seminar/002/post_29.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 19:14 | コメント (227) | トラックバック
2007年05月17日
ウィニー(Winny)事件、減りません。ウィニーってそんなに便利なんだろうか?
山口市、税務情報がWinnyを介してインターネット上に流出
http://www.pripo.jp/news/day200705/20070517-01.html
消防職員PCから個人情報=ウィニー介して流出−広島・大竹
http://www.jiji.com/jc/c?g=soc_30&k=2007051401068
ウィニー(Winny)ユーザーって多いんですね。
私は使ったことはないのですが、そんなに便利なんでしょうか。
これほど事件が起きていても使用する人がいるわけですから。
自分だけは大丈夫
と思っている人はウィニーを使わないほうが良いんでしょうね(笑)
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:21 | コメント (256) | トラックバック
2007年05月09日
5月24日 大阪 ISMS無料導入説明会でしゃべります。
日科技連 審査登録センターさんのISMS導入説明会
http://www.juse.or.jp/iso_center/isms/2007.html
というのがありまして、私がちょっとだけ(と言っても1時間くらいですが)
しゃべることになりました。
・ISMSの導入を検討されている人
・山口を見てみたい人
・日科技連に興味がある人(当然ですが)
は無料ですので如何でしょうか?
定員は20名とのことです。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:13 | コメント (31) | トラックバック
2007年05月08日
ISO27001とPマークが受注の決め手に!
VPJ、ASPサービス「Okinawa−DAM Station」を開始
沖縄に設置したデータセンターから、業界最高クラスの機能と価格設定による
ASPサービスを、デジタルコンテンツ市場向けに提供
http://release.nikkei.co.jp/detail.cfm?relID=159317&lindID=1
受注の決め手が設備面でのセキュリティの信頼性+ISO27001、Pマーク認証取得
によるとのこと。
セキュリティ関連のビジネスは、どう信頼性を付与するかが重要ですよね。
どう付与したらよいか見えないことは取り組めない。
しかし、見えていることは仮にちょっとしたこと(ISO27001やPマーク取得)
でも付与することでよりお客様の期待する信頼性に近づけるのではないで
しょうか。
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:45 | コメント (268) | トラックバック
2007年05月06日
マイクロソフトのウェブサイトが改ざん
http://itpro.nikkeibp.co.jp/article/NEWS/20070501/269922/?ST=security
マイクロソフトのウェブサイトで改ざん事件があったようです。
直接自社で管理していたところではないにしろ、マイクロソフト
関連のウェブサイトであるというのは大きな信用失墜でしょうね。
ウェブサイトの管理先のセキュリティ状況をこんな機会にチェック
されては如何でしょうか?
記事内容が良かったので、人気ブログランキングに投票する
yama : 12:39 | コメント (152) | トラックバック
2007年04月27日
文書のラベリングにお困りの皆様へ
日立ソフト、運用性を高めた情報漏えい防止ソリューション「秘文」新版など
http://enterprise.watch.impress.co.jp/cda/security/2007/04/26/10175.html
ラベリングのルールを作成すると必ず困るのが運用面。
実は今も困っています。
こういったソフトによってある程度運用面をサポートすれば
運用しやすいかもしれません。
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:05 | コメント (39) | トラックバック
2007年04月23日
プラス1時間で内部監査レベルアップできる方法!
内部監査のレベルアップに関して先日も書きました。
仕組みの見直しをしないとレベルアップは難しいという
内容なのですが、もう少し簡単にレベルアップできる方
法はないものかと考えてみました。
少し簡単すぎますが、レベルアップできる方法があること
に気がつきました。
しかも新たに監査技法を学ぶことなく
監査員のレベルを上げることもなく
です。
すでに実践している企業様もいると思いますので、
そういった企業様はより具体的な実施方法もぜひご教示
頂ければと思います。
それは『予習する』ことです。
予習とは何か?
それは内部監査予定の被監査部門と事前の打合せをする
ことです。
どんなことを打ち合わせるか?
見て欲しいところ、中心に確認したいところです。
被監査部門長からどんな点を見て欲しいか事前にヒアリングし
その部分を中心にチェックリストに盛り込み、その部門
の内部監査を実施するわけです。
自部門のチェックして欲しいところなんてない?
そんな部門長は部門長を辞めてもらうよう、社長の直訴し
ましょう(笑)
部門長であれば、自部門で徹底したい事項の1つや2つや3つや
4つや5つはあるでしょう。
それらを徹底することが部門のミッションなわけです。
ですので、それを事前に教えていただき、チェックリストに盛り込み
部員への周知、徹底度を監査するわけです。
部門長も自部門のミッションについてチェックしてもらえるわけ
ですから有益ですし、内部監査員もISO要求事項以外のチェックが
できるので、かなりレベルの高い内部監査になっているといえるで
しょう。
たった小1時間、被監査部門の部門長と事前の打合せをするだけで
レベルアップができるんです。
どうでしょうか、実践は難しいですか?
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:58 | コメント (184) | トラックバック
2007年04月04日
製造業のISO27001/ISMS
先日製造業で大きな機密情報の漏洩事件が
ありましたね。超優良企業と呼ばれる
自動車関連の企業様です。
情報セキュリティというとIT企業、金融、個人情報を
取り扱う企業というイメージがありますが
機密情報という切り口では、製造業をはじめ
ほとんどの企業様が関係してくることになります。
ですので今回のことは1つの契機としまして
製造業においても機密情報の管理が徹底されたり
重要性が換気されるのではないかと思っています。
どういった方針を策定すべきか?
└推進体制の構築と現状のセキュリティ状況の把握
└機密情報の保護に関して、重要度に応じて統一的な
管理体制のルールを構築し、徹底していく
ISMSの確立
└資産の捉え方
└最重要資産
└顧客の機密情報、顧客情報
└自社の技術的な機密情報
└重要資産
└工場に付随する保護すべき機器を含めた
資産
└従業員情報
└取引先の窓口情報
└製品
└想定される脅威
└顧客の機密情報の盗難や紛失
└自社の技術的な機密情報の盗難や紛失
└不正侵入による自社の技術的な機密情報の盗難や紛失
└製品の盗難
└停電
└仕様違いによる不良の発生
└想定される脆弱性
└入退室管理されていない
└顧客の機密情報や自社の技術情報に関するの管理ルールがない
└製品の保管に関して盗難等に関するリスクを想定していない
└想定されるリスク値の高いもの
└顧客の機密情報や自社の技術情報、製品の保護
詳細管理策の強化レベル(1〜5、5が最も力を注ぐ)
└A.5 情報セキュリティ基本方針:5
└機密情報を取り扱っていることとその保護をすることの
重要性を伝達する
└A.6 情報セキュリティのための組織:5
└契約関連の文言等等、現状でよいのか、またそれらの検討を誰が行
うのかを明確にする
└A.7 資産の管理:5
└重要な資産が漏れないようにする。
└ラベル付けのルールを明確にする
└A.8 人的資源のセキュリティ:5
└最も重要な項目。雇用前、雇用中、雇用の終了時の処置を従業員、
契約相手、主にサプライヤーに対して強化していく必要がある
└A.9 物理的及び環境的セキュリティ:3
└機密情報に関しての保護としてあまり実施されていなければ
施錠できるラック等の投資は検討が必要
└重要エリアに関しての入退室管理ルール
を構築
└A.10 通信及び運用管理:2
└現状把握を徹底する。
└A.11 アクセス制御:2
└現状把握を徹底する。
└登録だけでなく削除及びID等の棚卸しも意識する
└A.12 情報システムの取得、開発及び保守:2
└自社仕様でのシステムがあるかどうか
ある場合はセキュリティ要求事項をシ
ステム仕様に明確にする
└なければ除外
└A.13 情報セキュリティインシデントの管理:3
└障害管理、問題管理として強化する
└A.14 事業継続管理:3
└人材面の事業継続に関わる部分を盛り込む
└工場のダウンに関する対応・復旧に関して
盛り込む
└A.15 順守:3
└ライセンス管理、個人情報管理を強化する。
└製造上の著作権や特許関連及び輸出入関係
に関する順守ルールの策定
記事内容が良かったので、人気ブログランキングに投票する
yama : 17:22 | コメント (6) | トラックバック
2007年02月14日
スイスのISO本部から買い物してみました。:そのままプレゼント
スイスのISO本部を何気に見ていたらISO マネジメントシステムの雑誌があることを発見しました。
さすがに日本語版はなかったので読めないですが英語版を買って見ました。
ISO Manegement System
http://www.iso.org/iso/en/iso9000-14000/ims/ims.html
初めてのスイスフランでの買い物です。
ISOからの買い物
初めての海外ネット通販
スイスフランでの買い物
なんてところに刺激されました。
中身は・・・あんまり読んでないです。
次号は日本のイオンのISO14001の特集があるということはわかりましたよ。
うちで販売させてくれないかな>ISO Manegement System
ちなみに表示はCHF。
FはフランのFです。
CHはラテン語のスイスを表しているそうです。
Confoederatio Helvetica (読めない)
スイスをその他の言語にすると・・・
die Schweiz (ドイツ語)、Suisse (フランス語)、Svizzera (イタリア語)、Svizra (ロマンシュ語)、Helvetia(ラテン語)
(すいません、調べていただいた方のものをそのまま流用です。ありがとうございます。)
どうせあまり読まないので、欲しい人1名にプレゼントします。
こちらにメールで下記の募集要項で
応募ください。
--------------------------------------------
・送付先住所:
・送付先者名:
・メールアドレス:
・今興味があるISO:
・ISO総合研究所に期待することを一言
( )
・ISO総研からの有益な情報を希望するか否か
□希望 □希望しない
--------------------------------------------
記事内容が良かったので、人気ブログランキングに投票する
yama : 13:23 | コメント (17) | トラックバック
2007年02月13日
予防処置について考える:パロマ・リンナイの次は?
パロマの給湯器の事故に続いて、事故がないと
いっていたリンナイでも事故があることが発覚した。
ニュースに関して少し主体的に見て欲しい。
もしパロマ・リンナイと同業種にいる立場なら、どん
なことが想定されるだろうか?
大手2社で発覚したということは・・・・ということが想定される。
さて、今週中に動きがあれば早い方かもしれないですね。
なければやっぱりリークか新聞に先に出るか・・・・
トップがこれらのニュースを見てコミットできるかどうか
がひとつの鍵ですね。
p.s.
うちの家の給湯器はNORITZでしたが今のところ
問題はないです。
記事内容が良かったので、人気ブログランキングに投票する
yama : 11:47 | コメント (5321) | トラックバック
2007年01月21日
トップマネジメントへの審査が甘い?
スポット的なコンサル先や講習先にお伺いして
よく感じることがあります。
ISO9001/ISO14001/ISO27001/Pマークを含め
共通なんですがそれは方針に関する理解が低いことです。
山口 :「方針は知ってますか?」
聞かれた人:「あそこに書いてあります」
と方針のポスターを指差します。
山口 :「かいつまんで言うとどんなことが書かれてるんでしょうか?」
聞かれた人:「・・・・・・・」
まだこれは良いほうで、ポスターが掲示されていても
気づかない人もいますね。これは知らない人が悪いのでなく
知らせるような仕組みになっていないことに大きな課題があります。
また、周知はされているんですが理解されていないので
自分の言葉で方針はどんなことが書かれているか説明できない。
また、方針が当たり障りのない文言なのでとても理解しがたい。
定期審査では、この辺はどこまでトップマネジメント及び担当に
ヒアリングされているのかな?と疑問に感じます。
ISOは基本的にトップダウンの仕組み。
トップ(層)が方針に組織の戦略達成の状態を明確にし、それを
実現するための仕組みを構築する。
これはISOマネジメントシステムの共通でしょう。
最優先として、トップの達成したい状態を理解されているか確認せず
何の審査をしてるんでしょう?
文書と現場の違い?
記録漏れ?
小さいことですよね。トップがよりISOにコミットしてもらうには
審査でもトップに対してもっと厳しくてもよいのではと感じる今日この頃です。
記事内容が良かったので、人気ブログランキングに投票する
yama : 14:07 | コメント (8337) | トラックバック
2007年01月07日
2007年の山口! (お年玉プレゼント付き!)
山口の尊敬する社長であり切磋琢磨したい人であり、お客様でも会った、アイマーク環境の村山社長
アイマーク環境
http://www.i-mark.gr.jp/
佐渡ではたらく社長のblog
http://blog.i-mark.gr.jp/
が今年の目標を宣言されており刺激を受けましたので
ぼくも今年の計について宣言したいと思います。
ワタミの渡辺社長プロデュースの手帳を今年買い、
5カ年計画、1カ年計画を6つの項目で立てています。
その項目は、ビジネス、資産、健康、家庭、教養、趣味です。
そのうちのいくつかをここで宣言したいと思います。
----------------------------------------------------
■ビジネス
・会社の5ヵ年のベクトルを明確にする
・年次計画の必達
・会社のドメインを明確にしISO総合研究所で改めて宣言する
(桜が咲く前には)
■教養
・月20冊の読書(村山社長に負けないように)
・年間5本以上のセミナー
■健康(趣味?)
・水泳で60秒/50m以内を1km=20分をコンスタントに維持
■家庭
・週1度は家庭サービスでランチを作る
----------------------------------------------------
せっかくですのでお年玉プレゼント企画も真似させていただきます。
合計6冊(ちょっと村山社長よりケチ)を各1名様にプレゼントいたします。
募集要項は以下の通りです。
◆下記の事項をメールに記載の上、〔こちら〕ま
でお送り下さい。
1.ご希望の書籍番号(下のリストから)
2.お名前
3.郵便番号
4.ご住所
5.電話番号
6.メールアドレス
7.ご所属(お勤めの方は会社名、学生さんなら大学名)
8.ご当選の場合の結果発表での氏名公表の可否
9.最近読んだあなたのオススメの本
10.最後に、上に述べた決意の1〜6のどれか1つ以上について、意思の
弱い私が継続できるように、また達成できるように、アドバイスを書いて下さい。
◆応募期限:平成19年1月31日
★必要事項に記載漏れがある場合には、応募を無効とさせていただきます。
★私の知人でも、身内でも、社員でも、そして面識のない人でもお気軽にご
応募下さい。
★応募多数の場合は抽選とさせて頂きます。
★結果は、2月上旬にこのブログにて発表いたします。
★プレゼントの発送は、2月下旬に行いますが、売り切れ等で遅れる場合
がありますので予めご了承下さい。
★個人情報はプレゼントの発送以外には使用しません。
@図解版 夢に日付を!
Aなぜあの会社は儲かるのか
B一勝九敗
Cブルー・オーシャン戦略
Dガラクタ捨てれば自分が見える
E見える化-強い企業をつくる「見える」仕組み
記事内容が良かったので、人気ブログランキングに投票する
yama : 01:17 | コメント (11) | トラックバック
2006年12月12日
ISO27001 A.9.2.5 構外とは?
附属書のA.9.2.5に「構外」という言葉が出てくる。
構外とはどこをさすのか、結構苦慮されている人もいるのではないだろうか?
というかぼくもその1人です。
解説を探しても見当たらない。
ISO27002を少しじーっくり後ろのほうを見ると少しヒントらしいものを
見つけた。訳語の解説だ。
そこにあった訳の解説で
SITE:構内、事業所
というふうに訳したと書かれている。
なるほど、ということは、
構外とは、「構内・事業所外」
と捉えるのが普通だろう。
ということで
構外とは「構内・事業所外」ということになる。
例えば営業所は事業所なので構内
自宅は構内ではないので構外
派遣先はどうだろうか?
基本は構外という捉え方でよいだろう。。。。
現状はこう捉えていこうと思う。
間違ってたらし適してくださいね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 10:39 | コメント (15) | トラックバック
2006年12月01日
A.6.1.6 関係当局との連絡
─────────────────────────────
ISO27001 外部への連絡体制はあるか?
─────────────────────────────
【セキュリティチェックポイント】
法が破られた際、関係当局(監督官庁等)への連絡体制はあるか?
【引用】
A.6.1.6 関係当局との連絡
関係当局との適切な連絡体制を維持しなければならない。
【ISO27001対応】
発生しうるセキュリティインシデントの明確化
関係当局の明確化及び連絡体制の明確化
【最低限】
セキュリティインシデント発生時の内部対応の明確化
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:55 | コメント (27) | トラックバック
A.6.1.5 秘密保持契約
─────────────────────────────
ISO27001 秘密保持契約書の要求事項は見直しているか?
─────────────────────────────
【セキュリティチェックポイント】
秘密保持契約書の要求事項は見直しているか?
秘密保持契約書の要求事項は読んだことがあるか?
【引用】
A.6.1.5 秘密保持契約
情報保護に対する組織の必要を反映する秘密保持契約又は守秘義
務契約のための要求事項は,特定し,定めに従ってレビューしな
ければならない。
【ISO27001対応】
・秘密保持契約及び守秘義務に関する要求事項の見直しの担当
及び見直しタイミングを明確にする
【最低限】
・現状の秘密保持契約書の要求事項を確認する
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:53 | コメント (418) | トラックバック
【セキュリティチェックポイント】 A.6.1.4 情報処理設備の認可プロセス
─────────────────────────────
ISO27001 情報処理設備は誰が決済するか明確か?
─────────────────────────────
【セキュリティチェックポイント】
情報処理設備は誰が決済するか明確か?
【引用】
A.6.1.4 情報処理設備の認可プロセス
新しい情報処理設備に対する経営陣による認可プロセスを定め,
実施しなければならない。
【ISO27001対応】
情報処理設備の決裁権を明確にする
受け入れ基準を明確にする
【最低限】
個人の情報処理設備・装置の持込を厳しく管理する
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:50 | コメント (4) | トラックバック
【セキュリティチェックポイント】A.6.1.2 情報セキュリティの調整
ISO27001 セキュリティの最上位組織及び決済組織があるか?
─────────────────────────────
【セキュリティチェックポイント】
・セキュリティの最上位組織及び決済組織があるか?
【引用】
A.6.1.2 情報セキュリティの調整
情報セキュリティ活動は,組織の中の,関連する役割及び職務機
能をもつ様々な部署の代表が,調整しなければならない。
【ISO27001対応】
・セキュリティに関する決済組織を明確にする。
・必要に応じて推進チームを設ける。
【最低限】
・セキュリティに関する責任と権限がだれにあるか定める。
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:43 | コメント (15104) | トラックバック
A.6.1.1 情報セキュリティに対する経営陣の責任
─────────────────────────────
ISO27001 セキュリティに関する経営陣の責任と権限を明確にしているか?
─────────────────────────────
【セキュリティチェックポイント】
セキュリティに関する経営陣の責任と権限を明確にしているか?
【引用】
A.6.1.1 情報セキュリティに対する経営陣の責任
経営陣は,情報セキュリティの責任に関する明りょうな方向付
け,自らの関与の明示,責任の明確な割当て及び承認を通して,
組織内におけるセキュリティを積極的に支持しなければならな
い。
【ISO27001対応】
経営陣の情報セキュリティに対する責任と権限を割り当てる
【最低限】
サーバ管理、ID管理、ネットワーク管理などを正式な依頼内容
として現在の担当者に伝達する。
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:40 | コメント (1479) | トラックバック
2006年08月29日
ISO27001 情報セキュリティに対する組織の戦略は明確か?
〜 失敗しないISOコンサルティング 〜
ISOコンサルタントは十人十色、コンサルティングの手法も様々です。
そのコンサルティング手法を把握・検討し、御社に見合ったコンサルテ
ィングを活用する事が、その先のISO認証取得活動、及び継続的改善に
大きく影響する事でしょう。
間違いのないコンサルティングを活用する事も、ISO認証取得において
重要な事と言えるでしょう。
http://www.isosoken.com/z_consul/menu/total/index.html
ISMSがISO27001へとISO化され、JIS版も2006年5月20日正式発行!
それに対応した改訂版の販売を開始!
解説付ISMSマニュアルを中心に五つの手順書によって文書化を完成!
『ISMS(情報セキュリティマネジメントシステム)文書化の秘訣』
─ISO27001対応版─
http://www.isosoken.com/text_tool/isms/gt2700001.html
┃--ISMS/ISO27001:帰りの5分で情報セキュリティチェック--
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…
┃ セキュリティ意識を持ち続けることが最大のセキュリティ対策。
┃ セキュリティ意識を持たせ続けることが最大のセキュリティ対策。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…
─────────────────────────────
ISO27001 情報セキュリティに対する組織の戦略は明確か?
─────────────────────────────
【セキュリティチェックポイント】
情報セキュリティに対する組織の重要度や
今後の戦略は明確に定められているか?
【引用】
A.5.1.1 情報セキュリティ基本方針文書
情報セキュリティ基本方針文書は,経営陣によって承認
されなければならず,また,全従業員及び関連する外部
関係者に公表し,通知しなければならな
い。
【ISO27001対応】
・情報セキュリティ方針文書の策定
【最低限】
・自社にとって大事な情報資産とは何かを従業員
に伝える
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:29 | コメント (174) | トラックバック
2006年07月14日
情報セキュリティ基本方針文書とISMS基本方針
情報セキュリティ基本方針文書とISMS基本方針
のところのグレーゾーン
ISO27001では本文にISMS基本方針という文言と附属書
に情報セキュリティ基本方針文書という文言がある。
これらに関して、同じものか異なるものかに関して
悩まれている人もいるのではないでしょうか?
ぼくも構築段階で悩んだうちの一人です。
じゃあ今はクリアなのかと言うと、ある意味クリアです。
どうクリアなのか?
基本的に、まだまだ解釈にバラツキがあると言う意味で
クリアです(笑)
ISO関連に携わっていれば、文言が異なれば別物と
捉えるのが常識化していると言えるでしょう。
では実際はどうなんだろうか?
あるISMS関連のメルマガ発行をしているコンサルタントと
ここの部分で情報交換をしたんですが、その人の捉え方では
□引用□□□□□□□□□□□□□
私は、その辺を疑っています。 英語では、文中何度も登場する語句は
同じ意味の違う表現をするのが日常です。 それが出たという可能性が
あります。
また、4.2.3 g) のセキュリティ計画 について、ISO技術委員が
「「セキュリティ計画」を作れという意味ではなく、「情報セキュリティに関して
作成するであろう訓練計画や監査計画など」を意味している。」と言っていた
という事もあります。
日本語と違い、「同じ物を指す時には同じ語を用いる」という文化ではない国
が中心に作っているわけですから、「違う語だが同じ物を指している可能性が
ある」とも考えられるのです。9001や14001では、国際的に理解しやすくする事
を考慮してある様ですが、27001にはそこまでの様子が見えません。
□引用終わり□□□□□□□□□□
でした。
また某外資系大手審査機関の審査員は、
□引用□□□□□□□□□□□□□
違う。
要求事項がそもそも違う。
なのでISMS基本方針と情報セキュリティ方針は別途作成し
てくださいとのこと。
□引用終わり□□□□□□□□□□
山口は、どう捉えているか?
基本的には異なるものだと思っています。
だってISMSと情報セキュリティは別の意味。
ISMSはマネジメントシステムだし、情報セキュリティ
はマネジメントシステムってことじゃない。
なので別の意味と捉えています。ただこれらが
まったく別に作成しなくてはならないか?となると
そうは思いません。
ISMSと情報セキュリティが同じ文言で書かれても良いと
考えています。
それよりももっと大事なのは、本当はトップの戦略性
を伝えるメッセージなので、伝わりやすくなっているか
を重視したいです。
審査員も認めていたことですが、ISMSの捉え方には
かなりのギャップはある。だいたい収斂するまでには
2年くらいかかる。
なのでコンサルの方が先に行ってる部分が多々あるとの
こと。
数年したら、「なんだったんだ?」という審査結果
がしばらくは発生しうると想定した上で、ぜひ望んでく
ださい。
記事内容が良かったので、人気ブログランキングに投票する
yama : 22:23 | コメント (402) | トラックバック