2007年09月18日
世界柔道
世界柔道をチラチラと見ておりました。
ごたごたとしたことがあったようですが
なんとか後半は日本柔道の威信を保てた
結果になったので良かったと思います。
今回取り上げようと思ったのはこの審判に関して。
そう、まさに「ごたごた」したところの話です。
背中がついた、技を返した、足が掛かっていた・・・・
そこに、一本、技あり、有効、効果
という判断をしていく。
判断基準はわかりますが実際の試合になったとき
には非常に難しい判断になったりしますね。
より多くの人が判断をするとなるとなお更
でしょう。
柔道の審判を見ていて、どこかの世界に似ているなあ
と思っているのは私だけでしょうか?
ISOの内部監査員に似ていませんか(笑)
判断基準は
・ISO規格
・法律
・顧客要求
・社内要求
それはわかっているはずですが、実際の判断になると
見る人によって代わってくる。
それらを解決するにはどうしたらよいか?
柔道でもISOでも実は一緒だろうなと思っています。
理想の状態は、チームで実践の「場数を踏む」こと
でしょう。
リアルな「場」では机上では想定できない
ケースが発生します。それらを判断していくことで
判断のスキルをあげていくことになるでしょう。
なのでもう少し具体的に考えると
これまで半年に1回半日かけて実施していた内部監査を
毎月1時間実施し、頻度を増やすことで「場」を増やす
と言った策が考えられます。
さらに
理想の状態よりは、若干程度は落ちるものの、内部監査員
の判断基準を一致させる「場」を作るための方法があります。
それは、御社にあったケースをチームで解いていく、です。
「場」を設け、判断基準をあわせていく、これをこなして
行くだけで判断基準の一致度はずいぶん変わるでしょう。
個々の判断の癖なども事前につかむこともできます。
それらをお手伝いさせていただくサービスを用意してみました。
ケース演習のみ3時間講習:対応規格:9001/14001/27001/Pマーク
http://www.isosoken.com/seminar/002/post.php
ケース問題作成代行(10問):対応規格:9001/14001/27001/Pマーク
http://www.isosoken.com/seminar/002/post_29.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 19:14 | コメント (227) | トラックバック
2007年09月10日
講習の効果を3倍にする方法
私どもを講師として呼んでいただくにあたり
講習の効果を3倍にする方法があります。
それは
「事前に講習の目的をきちんと伝えていただく」
です。
え!そんなこと?
と思われるかもしれません。
しかし、すいません、私、講師でお伺いすると必ず
私:「今日は何の講習って聞いてますか?」
とお聞きすると
聞かれた人:「・・・・、なんかISO関係の・・・」
みたいな感じです。
そんなことで3倍は行かないだろう?
とおっしゃるかもしれません。
そうですね、伝えるレベルにもよるんでしょうけど、
仮に内部監査員養成講座であれば
・内部監査員養成講座であること
・この講習が終わると内部監査員になること
・内部監査員になったら内部監査を実施してもらうこと
・具体的に日程が決まっていればそれについて
+
・御社で決まっている内部監査のルールが書かれた規定
を渡す
ここくらいまで実施していただくと、確実に
講習の効果が変わります。
規格を3回読んでおくことも大事ですが
「目的」をしっかりお伝えすることのほうが
大事ですよ。
【PR】
内部監査員養成講座、土日大歓迎、遠方大歓迎、旅費交通費無料
http://www.isosoken.com/seminar/001/audit.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 16:47 | コメント (36) | トラックバック
2007年08月01日
方針調査をしてみよう!
方針からキーワードを抜き出す。
それらが実施できたか?
意識して行動できたか?
達成できたか?
を全従業員に聞いてみる。
みんな感じ方が違うので、その感じ方の基準を作る。
また時間を置いて(半年に1回程度)調査してみる。
これをやるだけで組織の推進力は変わる。
記事内容が良かったので、人気ブログランキングに投票する
yama : 22:40 | コメント (1932) | トラックバック
2007年07月24日
年8回監査がある会社ってどうなんでしょう?
年8回監査がある会社って皆さんどう思いますか?
「すばらしい!、内部統制機能がばっちりだ!」
ですか?
「やりすぎだ!、そんなにやったら実務が非効率だ!そもそも
やりすぎといわれている内部統制だってそこまで求めてないよ!」
ですか?
でも、ドキッとした人、実は多いのではないでしょうか?
そうです、御社でも8回監査ありますよね。
12ヶ月の中で8回、計画、準備、是正等を含めるとほぼずーっと監査
に追われていることになりますね。
8回の内訳
ISO9001の内部監査:年2回
ISO14001の内部監査:年2回
ISO9001の外部監査:年2回
ISO14001の内部監査:年2回
それはどう考えても大変でしょう。
じつはお伺いした先で、こういった相談を受けることが多いんです。
私からすれば
「え?ちょっと待って下さい。本当ですか?」
です。
内部監査も審査も統合でやれば正直半分で済むのに。
ついでに審査機関もちょっと見直してしまえば
費用も安くなるのに。
事務局でない別の人が
「でもそれでまた文書とかも見直さなきゃいけないんでしょ?」
じゃあずーっと8回やり続けますか?
これでISO27001又はOHSASが来たら12回です(笑、笑どころじゃないです)。
もしこういった会社であれば
まずは
1.審査機関の審査を見直す
複数の規格を統合で実施してくれる審査機関に移りましょう。
わからなければ声かけてください。
2.内部監査を統合する
同じ日付で実施する。
内部監査規定だけでも統合する。
あとは徐々に。
3.仕組みを統合する
方針、なんで2つ必要?
目標、なんで2つ必要?
文書管理、2つ必要なし
記録管理、2つ必要なし
教育訓練、2つ必要なし
内部監査、2つ必要なし
不適合・是正・予防、2つ必要なし
さあ、見直し始めてください。
年8回やり続けますか?
半分に減らしますか?
記事内容が良かったので、人気ブログランキングに投票する
yama : 22:20 | コメント (123) | トラックバック
2007年06月12日
Most盛り上がる演習後、専務がしていたこと
Most盛り上がる演習:方針や企業理念の共有演習
http://www.isosoken.com/blog/yama/archives/2007/06/most.php
の話を書かせていただきましたが、早速何件かお問い合わせ
いただきありがとうございます。
演習後、ある会社の専務がしていたことが印象的でした。
演習結果をメモしてるんです。
私:「どうするんですか?」
とお聞きすると
専務:「社長にこの通りかどうか見てもらおうと思って」
とのこと。
管理層になると方針や企業理念の共有がいかに重要であるかを
認識されているんだなあと感じました。
ちなみに3チームに分かれて実施しました。
把握は類似していますが、やはり同じ共有ではないですね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:07 | コメント (23) | トラックバック
2007年06月09日
Most盛り上がる演習:方針や企業理念の共有演習
企業様に訪問させていただき、最も盛り上がる演習を
『Most盛り上がる演習』
と勝手に名づけました。
それは何かというと
『方針や企業理念の共有演習』
です。
方針や企業理念に盛り込まれたキーワードに関して
チーム内でまとめてもらい、発表します。
あまりの違いにみんな一様に驚くとともに
共有されていく心地よさも感じて頂けるようです。
もし自社でもやってみたいという方はお気軽に
弊社までご連絡ください。
http://www.isosoken.com/info/toiawase.html
記事内容が良かったので、人気ブログランキングに投票する
yama : 16:39 | コメント (13) | トラックバック
2007年05月28日
個人情報7人分紛失 メモリーに相談内容
個人情報7人分紛失 メモリーに相談内容
http://www.saitama-np.co.jp/news05/23/15x.html
USBメモリの紛失。
USBメモリの管理は非常に難しいですね。
使用しない又は使用する場合も会社支給にして管理する
という状態くらいでしょうか。
あとはUSBをさせないようにするというのもあります。
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:56 | コメント (160) | トラックバック
コージツ子会社が不正アクセス被害 - カード情報含む個人情報が流出
コージツ子会社が不正アクセス被害 - カード情報含む個人情報が流出
http://www.security-next.com/006048.html
個人情報がサーバにある場合、漏えいリスクが高いということを認識してお
く必要がありますね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:52 | コメント (0) | トラックバック
日本科学技術連盟(JUSE)様のISMS(ISO27001)無料説明会に、ぶらっくたいが様が・・・
日本科学技術連盟(JUSE)様のISMS無料説明会、無事終わりました。
しゃべりすぎて少し時間が足りなくなってしまい御迷惑をお掛けしま
した。
また会場にはmixi、いそみくでもご一緒させていただいている
「ぶらっくたいが」様がおいでくださいました。
お忙しいところ、おいでくださりまして、ありがとうございました。
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:05 | コメント (218) | トラックバック
2007年05月23日
第13回 JAB/ISO 9001公開討論会 報告(概要)
第13回 JAB/ISO 9001公開討論会 報告(概要)
http://www.jab.or.jp/news/2007/070521_0.html
討論会の報告がJABにされてました。
本当に抜粋です(笑
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:02 | コメント (474) | トラックバック
2007年05月20日
ウィニー(Winny)事件:福岡県嘉麻市住民の個人情報がファイル交換ソフトで流出 - 業務委託先から
福岡県嘉麻市住民の個人情報がファイル交換ソフトで流出 - 業務委託先から
http://www.security-next.com/006012.html
ウィニーによる情報漏えいの別の事件です。
委託先に関してどのようにチェックしていくか・・・これも大きな課題ですね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 09:40 | コメント (200) | トラックバック
ウィニー(winny)事件:大竹市、個人情報含む消防関連情報がP2Pソフト経由で流出
大竹市、個人情報含む消防関連情報がP2Pソフト経由で流出
http://www.security-next.com/006013.html
ウィニー(Winny)を通じた個人情報漏えい事件です。
個人宅での使用禁止、どう防ぐか・・・
記事内容が良かったので、人気ブログランキングに投票する
yama : 09:36 | コメント (0) | トラックバック
2007年05月17日
ISO27001を上手に内部統制に使う方法
ISMS運営は日本版SOX法対策にも役立つ
http://www.itmedia.co.jp/enterprise/articles/0705/16/news002.html
とのこと。
ホワイトペーパーダウンロードがあるようです。
ただ登録が必要のようです。
テュフさんに交渉したいです。うちからもダウンロードできるように。
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:28 | コメント (0) | トラックバック
ウィニー(Winny)事件、減りません。ウィニーってそんなに便利なんだろうか?
山口市、税務情報がWinnyを介してインターネット上に流出
http://www.pripo.jp/news/day200705/20070517-01.html
消防職員PCから個人情報=ウィニー介して流出−広島・大竹
http://www.jiji.com/jc/c?g=soc_30&k=2007051401068
ウィニー(Winny)ユーザーって多いんですね。
私は使ったことはないのですが、そんなに便利なんでしょうか。
これほど事件が起きていても使用する人がいるわけですから。
自分だけは大丈夫
と思っている人はウィニーを使わないほうが良いんでしょうね(笑)
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:21 | コメント (256) | トラックバック
2007年05月16日
個人情報紛失、漏えい事件多発中
個人情報流出の原因は設定不備 - メナードが調査結果
http://www.security-next.com/005994.html
個人情報紛失、成績・進路も=生徒・卒業生1200人分−千葉県立高
http://www.jiji.com/jc/c?g=soc_30&k=2007051501172
学生の個人情報を誤ってHPに=広島県教委
http://book.jiji.com/kyouin/cgi-bin/edu.cgi?20070516-3
税情報数千人分が流出、氏名や口座番号など…山口市
http://kyushu.yomiuri.co.jp/news/ne_07051602.htm
河北総合病院、個人情報が記載された書類が強風で飛散、紛失
http://www.pripo.jp/news/day200705/20070516-01.html
個人情報4万件流出 町村合併作業の私有PC 愛媛
http://www.asahi.com/national/update/0516/OSK200705160027.html
患者情報入りメモリー紛失=414人分−名大病院
http://www.jiji.com/jc/c?g=soc_30&k=2007051600773
個々最近あった個人情報の紛失漏えい事件です。
すごい件数ですね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 23:29 | コメント (167) | トラックバック
「変化」を前提とした情報セキュリティ対策を――経産省が報告書
「変化」を前提とした情報セキュリティ対策を――経産省が報告書
http://www.itmedia.co.jp/enterprise/articles/0705/14/news062.html
変化を前提として情報セキュリティ対策とは
仕組みで持つことになるでしょう。
なので正確には情報セキュリティ対策でなく、情報セキュリティマネジメントシステムを
ではないでしょうか。
しかし、変化を前提とした情報セキュリティ対策としてISMSを持つと考えるのであれば
良いのかもしれません。
情報セキュリティだけでなく、品質や環境に関しても
変化を想定し取得後も推進チームを維持して欲しいです。
記事内容が良かったので、人気ブログランキングに投票する
yama : 00:04 | コメント (158) | トラックバック
2007年05月14日
サッカーくじ殺到で一部システムダウン 史上最高6億円
サッカーくじ殺到で一部システムダウン 史上最高6億円
http://www.asahi.com/national/update/0512/TKY200705120189.html
久しぶりにTOTOの話題が出たと思ったらシステムダウンなんですね。
私自身購入していないので正直正確なところはわからないのですが
対応は早かったのではないでしょうか。
確かにシステムダウンとは本来起こってはいけないことですが
そのあとの対応に関してしっかり構築されているのではないかと思います。
それにしても、どのレベルに合わせてシステムの余裕を持つかということは
難しい問題ですね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 21:43 | コメント (186) | トラックバック
2007年05月11日
大日本印刷のセキュリティ改善状況「問題なし」 - JIPDECが現地調査で確認
大日本印刷のセキュリティ改善状況「問題なし」 - JIPDECが現地調査で確認
http://www.security-next.com/005964.html
大規模な個人情報漏洩事件を起こしたことによるJIPDECの現地調査のようです。
プライバシーマーク制度の妥当性を求める審査や国内規格である基準の・・・・
は微妙だと思いますが、漏洩=即時何らかの対応をするという仕組みはすごく
良いのではないかなと思います。
また妥当性を問うているからこそ、対応をされても違和感がないとも言えます。
ISOの審査の場合、妥当性からの不適合はほとんどでない中で認証保留
となる某社に関しての指摘は・・・・。
余談ですが、Pマークの認証取得件数は随分伸びていますね。
7449社とのこと
記事内容が良かったので、人気ブログランキングに投票する
yama : 00:05 | コメント (323) | トラックバック
2007年05月09日
警察庁が「ダイ・ハード4・0」とタイアップ
警察庁が「ダイ・ハード4・0」とタイアップ
http://hochi.yomiuri.co.jp/entertainment/news/20070509-OHT1T00194.htm
ブルースウィルスと青年がサイバーテロに立ち向かうというストーリーのようです。
ポスターを18万枚作るとのことだけど、それだったらチケットを18万枚欲しい。
記事内容が良かったので、人気ブログランキングに投票する
yama : 23:52 | コメント (0) | トラックバック
5月24日 大阪 ISMS無料導入説明会でしゃべります。
日科技連 審査登録センターさんのISMS導入説明会
http://www.juse.or.jp/iso_center/isms/2007.html
というのがありまして、私がちょっとだけ(と言っても1時間くらいですが)
しゃべることになりました。
・ISMSの導入を検討されている人
・山口を見てみたい人
・日科技連に興味がある人(当然ですが)
は無料ですので如何でしょうか?
定員は20名とのことです。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:13 | コメント (31) | トラックバック
2007年05月08日
ISO27001とPマークが受注の決め手に!
VPJ、ASPサービス「Okinawa−DAM Station」を開始
沖縄に設置したデータセンターから、業界最高クラスの機能と価格設定による
ASPサービスを、デジタルコンテンツ市場向けに提供
http://release.nikkei.co.jp/detail.cfm?relID=159317&lindID=1
受注の決め手が設備面でのセキュリティの信頼性+ISO27001、Pマーク認証取得
によるとのこと。
セキュリティ関連のビジネスは、どう信頼性を付与するかが重要ですよね。
どう付与したらよいか見えないことは取り組めない。
しかし、見えていることは仮にちょっとしたこと(ISO27001やPマーク取得)
でも付与することでよりお客様の期待する信頼性に近づけるのではないで
しょうか。
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:45 | コメント (268) | トラックバック
2007年05月06日
マイクロソフトのウェブサイトが改ざん
http://itpro.nikkeibp.co.jp/article/NEWS/20070501/269922/?ST=security
マイクロソフトのウェブサイトで改ざん事件があったようです。
直接自社で管理していたところではないにしろ、マイクロソフト
関連のウェブサイトであるというのは大きな信用失墜でしょうね。
ウェブサイトの管理先のセキュリティ状況をこんな機会にチェック
されては如何でしょうか?
記事内容が良かったので、人気ブログランキングに投票する
yama : 12:39 | コメント (152) | トラックバック
2007年04月27日
文書のラベリングにお困りの皆様へ
日立ソフト、運用性を高めた情報漏えい防止ソリューション「秘文」新版など
http://enterprise.watch.impress.co.jp/cda/security/2007/04/26/10175.html
ラベリングのルールを作成すると必ず困るのが運用面。
実は今も困っています。
こういったソフトによってある程度運用面をサポートすれば
運用しやすいかもしれません。
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:05 | コメント (39) | トラックバック
2007年04月25日
情報セキュリティEXPO:5/16〜18
情報セキュリティEXPO
http://www.ist-expo.jp/
が5月16日から18日まであるようですね。
参加される方はいらっしゃいますか?
個人的にはメールセキュリティに興味があります。
そろそろスパムを何とかせねばと思っています。
p.s.
同時開催のダイレクトマーケティングEXPOの方が
実は興味があったりします。
記事内容が良かったので、人気ブログランキングに投票する
yama : 14:29 | コメント (0) | トラックバック
2007年04月23日
プラス1時間で内部監査レベルアップできる方法!
内部監査のレベルアップに関して先日も書きました。
仕組みの見直しをしないとレベルアップは難しいという
内容なのですが、もう少し簡単にレベルアップできる方
法はないものかと考えてみました。
少し簡単すぎますが、レベルアップできる方法があること
に気がつきました。
しかも新たに監査技法を学ぶことなく
監査員のレベルを上げることもなく
です。
すでに実践している企業様もいると思いますので、
そういった企業様はより具体的な実施方法もぜひご教示
頂ければと思います。
それは『予習する』ことです。
予習とは何か?
それは内部監査予定の被監査部門と事前の打合せをする
ことです。
どんなことを打ち合わせるか?
見て欲しいところ、中心に確認したいところです。
被監査部門長からどんな点を見て欲しいか事前にヒアリングし
その部分を中心にチェックリストに盛り込み、その部門
の内部監査を実施するわけです。
自部門のチェックして欲しいところなんてない?
そんな部門長は部門長を辞めてもらうよう、社長の直訴し
ましょう(笑)
部門長であれば、自部門で徹底したい事項の1つや2つや3つや
4つや5つはあるでしょう。
それらを徹底することが部門のミッションなわけです。
ですので、それを事前に教えていただき、チェックリストに盛り込み
部員への周知、徹底度を監査するわけです。
部門長も自部門のミッションについてチェックしてもらえるわけ
ですから有益ですし、内部監査員もISO要求事項以外のチェックが
できるので、かなりレベルの高い内部監査になっているといえるで
しょう。
たった小1時間、被監査部門の部門長と事前の打合せをするだけで
レベルアップができるんです。
どうでしょうか、実践は難しいですか?
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:58 | コメント (184) | トラックバック
2007年04月09日
内部監査をレベルアップさせるたった一つの方法
内部監査のレベルアップ、非常に関心が高いテーマですね。
弊社でも取得後企業様から多くの資料請求や商品購入、講
習依頼が来ています。
この傾向は数年前からあり、私自身も真剣に考えたりもしています。
私なりの結論としては
内部監査のレベルアップをするためには、たった一つの方法しか
思い浮かびませんでした。
大前提で、世の中には沢山あると思いますが、私のロジックだと
たった一つかなということです。
私のブログを見てくださったついでに面倒かもしれませんが
一緒にロジックを辿って頂ければと思います。
そもそも内部監査のレベルアップってなんだろう?
から始まりました。
どういう状態がレベルアップしている状態か?
・沢山の指摘が出ている状態か?
・内部監査を基点に仕組みが見直しされている状態か?
・規格のチェックでなく、仕組みのチェックになっている状態か?
私の結論としては、
「方針が落とし込まれた仕組みが機能しているかどうか」
ではないかとなりました。
この辺で仮説が異なる人は、ああ、もう違うじゃんと思っているかもしれませんが
折角ここまでお付き合いいただいたので、もう少しロジックを一緒に
見てください。
「方針が落とし込まれた仕組みが機能しているかどうか」
なんですが、ISOとはそもそも方針の状態を満たす、または目指すために
構築される仕組みであります。
方針以上でも方針以下でもない。
ですので、方針が非常に大事であり、方針が落とし込まれた仕組みの状態も
非常に大事です。
おそらくみなさんの構築もそうされているでしょう。
では、
『機能しているかどうか』をチェックするには、どうしたらよいか?
と私は考えました。
方法を2つ思いつきました。
1)方針や社長の思いを十分に把握したレベルの高い内部監査員が
仕組みをチェックする
2)機能しているかどうかの監視項目を 儲けた仕組みにしておくことで、
それに基づきチェックリストを構築すれば、内部監査員は誰でも機能し
ているかどうかのチェックができる状態にする
なので最初にたった一つの方法と書きましたが、1)でも可能といえば
可能なんですが、1)の場合、人に依存します。
ですので、例えば、
・ジョブローテーションで移動してしまった。
・退職、転職してしまった。
となると折角レベルの高い内部監査ができる内部監査員を養成していても
また教育のし直しになってしまう。
そんなデメリットを考慮すると生き残ったのがたった一つの方法で
2)機能しているかどうかの監視項目を 儲けた仕組みにしておくことで、
それに基づきチェックリストを構築すれば、内部監査員は誰でも機能し
ているかどうかのチェックができる状態にする
ではないかと思っています。
これにより人に依存しない、仕組みに依存することになります。
そもそもマネジメントシステムなので人でなく仕組みに依存させるべきかなという
思想も少し入ってます。
なのでこのロジックを辿っていくと
内部監査をレベルアップするためには、監視項目を盛り込んだ仕組みを構築
しないといけない
となってしまいます。
その1つの方法が、業務フローの作成になります。
またチェック的な要素をさらに重視するのであれば、
業務工程表の作成ということになります。
興味があれば、資料請求ください。
http://www.isosoken.com/seminar/iso9001/v01/post_132.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 20:01 | コメント (2666) | トラックバック
2007年04月04日
製造業のISO27001/ISMS
先日製造業で大きな機密情報の漏洩事件が
ありましたね。超優良企業と呼ばれる
自動車関連の企業様です。
情報セキュリティというとIT企業、金融、個人情報を
取り扱う企業というイメージがありますが
機密情報という切り口では、製造業をはじめ
ほとんどの企業様が関係してくることになります。
ですので今回のことは1つの契機としまして
製造業においても機密情報の管理が徹底されたり
重要性が換気されるのではないかと思っています。
どういった方針を策定すべきか?
└推進体制の構築と現状のセキュリティ状況の把握
└機密情報の保護に関して、重要度に応じて統一的な
管理体制のルールを構築し、徹底していく
ISMSの確立
└資産の捉え方
└最重要資産
└顧客の機密情報、顧客情報
└自社の技術的な機密情報
└重要資産
└工場に付随する保護すべき機器を含めた
資産
└従業員情報
└取引先の窓口情報
└製品
└想定される脅威
└顧客の機密情報の盗難や紛失
└自社の技術的な機密情報の盗難や紛失
└不正侵入による自社の技術的な機密情報の盗難や紛失
└製品の盗難
└停電
└仕様違いによる不良の発生
└想定される脆弱性
└入退室管理されていない
└顧客の機密情報や自社の技術情報に関するの管理ルールがない
└製品の保管に関して盗難等に関するリスクを想定していない
└想定されるリスク値の高いもの
└顧客の機密情報や自社の技術情報、製品の保護
詳細管理策の強化レベル(1〜5、5が最も力を注ぐ)
└A.5 情報セキュリティ基本方針:5
└機密情報を取り扱っていることとその保護をすることの
重要性を伝達する
└A.6 情報セキュリティのための組織:5
└契約関連の文言等等、現状でよいのか、またそれらの検討を誰が行
うのかを明確にする
└A.7 資産の管理:5
└重要な資産が漏れないようにする。
└ラベル付けのルールを明確にする
└A.8 人的資源のセキュリティ:5
└最も重要な項目。雇用前、雇用中、雇用の終了時の処置を従業員、
契約相手、主にサプライヤーに対して強化していく必要がある
└A.9 物理的及び環境的セキュリティ:3
└機密情報に関しての保護としてあまり実施されていなければ
施錠できるラック等の投資は検討が必要
└重要エリアに関しての入退室管理ルール
を構築
└A.10 通信及び運用管理:2
└現状把握を徹底する。
└A.11 アクセス制御:2
└現状把握を徹底する。
└登録だけでなく削除及びID等の棚卸しも意識する
└A.12 情報システムの取得、開発及び保守:2
└自社仕様でのシステムがあるかどうか
ある場合はセキュリティ要求事項をシ
ステム仕様に明確にする
└なければ除外
└A.13 情報セキュリティインシデントの管理:3
└障害管理、問題管理として強化する
└A.14 事業継続管理:3
└人材面の事業継続に関わる部分を盛り込む
└工場のダウンに関する対応・復旧に関して
盛り込む
└A.15 順守:3
└ライセンス管理、個人情報管理を強化する。
└製造上の著作権や特許関連及び輸出入関係
に関する順守ルールの策定
記事内容が良かったので、人気ブログランキングに投票する
yama : 17:22 | コメント (6) | トラックバック
2007年02月14日
スイスのISO本部から買い物してみました。:そのままプレゼント
スイスのISO本部を何気に見ていたらISO マネジメントシステムの雑誌があることを発見しました。
さすがに日本語版はなかったので読めないですが英語版を買って見ました。
ISO Manegement System
http://www.iso.org/iso/en/iso9000-14000/ims/ims.html
初めてのスイスフランでの買い物です。
ISOからの買い物
初めての海外ネット通販
スイスフランでの買い物
なんてところに刺激されました。
中身は・・・あんまり読んでないです。
次号は日本のイオンのISO14001の特集があるということはわかりましたよ。
うちで販売させてくれないかな>ISO Manegement System
ちなみに表示はCHF。
FはフランのFです。
CHはラテン語のスイスを表しているそうです。
Confoederatio Helvetica (読めない)
スイスをその他の言語にすると・・・
die Schweiz (ドイツ語)、Suisse (フランス語)、Svizzera (イタリア語)、Svizra (ロマンシュ語)、Helvetia(ラテン語)
(すいません、調べていただいた方のものをそのまま流用です。ありがとうございます。)
どうせあまり読まないので、欲しい人1名にプレゼントします。
こちらにメールで下記の募集要項で
応募ください。
--------------------------------------------
・送付先住所:
・送付先者名:
・メールアドレス:
・今興味があるISO:
・ISO総合研究所に期待することを一言
( )
・ISO総研からの有益な情報を希望するか否か
□希望 □希望しない
--------------------------------------------
記事内容が良かったので、人気ブログランキングに投票する
yama : 13:23 | コメント (17) | トラックバック
2007年02月13日
予防処置について考える:パロマ・リンナイの次は?
パロマの給湯器の事故に続いて、事故がないと
いっていたリンナイでも事故があることが発覚した。
ニュースに関して少し主体的に見て欲しい。
もしパロマ・リンナイと同業種にいる立場なら、どん
なことが想定されるだろうか?
大手2社で発覚したということは・・・・ということが想定される。
さて、今週中に動きがあれば早い方かもしれないですね。
なければやっぱりリークか新聞に先に出るか・・・・
トップがこれらのニュースを見てコミットできるかどうか
がひとつの鍵ですね。
p.s.
うちの家の給湯器はNORITZでしたが今のところ
問題はないです。
記事内容が良かったので、人気ブログランキングに投票する
yama : 11:47 | コメント (5321) | トラックバック
2007年01月22日
白石美帆があなたのセキュリティをチェックします!
うちのサービスじゃなくって(うちのサービスだったら良かったのに)
経済産業省のキャンペーン
http://www.checkpc.jp/index.html
です。基本は個人向けですが個々のPCをチェックするには
良いと思います。
ぜひお試しあれ!
記事内容が良かったので、人気ブログランキングに投票する
yama : 20:32 | コメント (0) | トラックバック
2007年01月21日
トップマネジメントへの審査が甘い?
スポット的なコンサル先や講習先にお伺いして
よく感じることがあります。
ISO9001/ISO14001/ISO27001/Pマークを含め
共通なんですがそれは方針に関する理解が低いことです。
山口 :「方針は知ってますか?」
聞かれた人:「あそこに書いてあります」
と方針のポスターを指差します。
山口 :「かいつまんで言うとどんなことが書かれてるんでしょうか?」
聞かれた人:「・・・・・・・」
まだこれは良いほうで、ポスターが掲示されていても
気づかない人もいますね。これは知らない人が悪いのでなく
知らせるような仕組みになっていないことに大きな課題があります。
また、周知はされているんですが理解されていないので
自分の言葉で方針はどんなことが書かれているか説明できない。
また、方針が当たり障りのない文言なのでとても理解しがたい。
定期審査では、この辺はどこまでトップマネジメント及び担当に
ヒアリングされているのかな?と疑問に感じます。
ISOは基本的にトップダウンの仕組み。
トップ(層)が方針に組織の戦略達成の状態を明確にし、それを
実現するための仕組みを構築する。
これはISOマネジメントシステムの共通でしょう。
最優先として、トップの達成したい状態を理解されているか確認せず
何の審査をしてるんでしょう?
文書と現場の違い?
記録漏れ?
小さいことですよね。トップがよりISOにコミットしてもらうには
審査でもトップに対してもっと厳しくてもよいのではと感じる今日この頃です。
記事内容が良かったので、人気ブログランキングに投票する
yama : 14:07 | コメント (8337) | トラックバック
2007年01月07日
2007年の山口! (お年玉プレゼント付き!)
山口の尊敬する社長であり切磋琢磨したい人であり、お客様でも会った、アイマーク環境の村山社長
アイマーク環境
http://www.i-mark.gr.jp/
佐渡ではたらく社長のblog
http://blog.i-mark.gr.jp/
が今年の目標を宣言されており刺激を受けましたので
ぼくも今年の計について宣言したいと思います。
ワタミの渡辺社長プロデュースの手帳を今年買い、
5カ年計画、1カ年計画を6つの項目で立てています。
その項目は、ビジネス、資産、健康、家庭、教養、趣味です。
そのうちのいくつかをここで宣言したいと思います。
----------------------------------------------------
■ビジネス
・会社の5ヵ年のベクトルを明確にする
・年次計画の必達
・会社のドメインを明確にしISO総合研究所で改めて宣言する
(桜が咲く前には)
■教養
・月20冊の読書(村山社長に負けないように)
・年間5本以上のセミナー
■健康(趣味?)
・水泳で60秒/50m以内を1km=20分をコンスタントに維持
■家庭
・週1度は家庭サービスでランチを作る
----------------------------------------------------
せっかくですのでお年玉プレゼント企画も真似させていただきます。
合計6冊(ちょっと村山社長よりケチ)を各1名様にプレゼントいたします。
募集要項は以下の通りです。
◆下記の事項をメールに記載の上、〔こちら〕ま
でお送り下さい。
1.ご希望の書籍番号(下のリストから)
2.お名前
3.郵便番号
4.ご住所
5.電話番号
6.メールアドレス
7.ご所属(お勤めの方は会社名、学生さんなら大学名)
8.ご当選の場合の結果発表での氏名公表の可否
9.最近読んだあなたのオススメの本
10.最後に、上に述べた決意の1〜6のどれか1つ以上について、意思の
弱い私が継続できるように、また達成できるように、アドバイスを書いて下さい。
◆応募期限:平成19年1月31日
★必要事項に記載漏れがある場合には、応募を無効とさせていただきます。
★私の知人でも、身内でも、社員でも、そして面識のない人でもお気軽にご
応募下さい。
★応募多数の場合は抽選とさせて頂きます。
★結果は、2月上旬にこのブログにて発表いたします。
★プレゼントの発送は、2月下旬に行いますが、売り切れ等で遅れる場合
がありますので予めご了承下さい。
★個人情報はプレゼントの発送以外には使用しません。
@図解版 夢に日付を!
Aなぜあの会社は儲かるのか
B一勝九敗
Cブルー・オーシャン戦略
Dガラクタ捨てれば自分が見える
E見える化-強い企業をつくる「見える」仕組み
記事内容が良かったので、人気ブログランキングに投票する
yama : 01:17 | コメント (11) | トラックバック
2006年12月12日
ISO27001 A.9.2.5 構外とは?
附属書のA.9.2.5に「構外」という言葉が出てくる。
構外とはどこをさすのか、結構苦慮されている人もいるのではないだろうか?
というかぼくもその1人です。
解説を探しても見当たらない。
ISO27002を少しじーっくり後ろのほうを見ると少しヒントらしいものを
見つけた。訳語の解説だ。
そこにあった訳の解説で
SITE:構内、事業所
というふうに訳したと書かれている。
なるほど、ということは、
構外とは、「構内・事業所外」
と捉えるのが普通だろう。
ということで
構外とは「構内・事業所外」ということになる。
例えば営業所は事業所なので構内
自宅は構内ではないので構外
派遣先はどうだろうか?
基本は構外という捉え方でよいだろう。。。。
現状はこう捉えていこうと思う。
間違ってたらし適してくださいね。
記事内容が良かったので、人気ブログランキングに投票する
yama : 10:39 | コメント (15) | トラックバック
2006年12月01日
A.6.1.6 関係当局との連絡
─────────────────────────────
ISO27001 外部への連絡体制はあるか?
─────────────────────────────
【セキュリティチェックポイント】
法が破られた際、関係当局(監督官庁等)への連絡体制はあるか?
【引用】
A.6.1.6 関係当局との連絡
関係当局との適切な連絡体制を維持しなければならない。
【ISO27001対応】
発生しうるセキュリティインシデントの明確化
関係当局の明確化及び連絡体制の明確化
【最低限】
セキュリティインシデント発生時の内部対応の明確化
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:55 | コメント (27) | トラックバック
A.6.1.5 秘密保持契約
─────────────────────────────
ISO27001 秘密保持契約書の要求事項は見直しているか?
─────────────────────────────
【セキュリティチェックポイント】
秘密保持契約書の要求事項は見直しているか?
秘密保持契約書の要求事項は読んだことがあるか?
【引用】
A.6.1.5 秘密保持契約
情報保護に対する組織の必要を反映する秘密保持契約又は守秘義
務契約のための要求事項は,特定し,定めに従ってレビューしな
ければならない。
【ISO27001対応】
・秘密保持契約及び守秘義務に関する要求事項の見直しの担当
及び見直しタイミングを明確にする
【最低限】
・現状の秘密保持契約書の要求事項を確認する
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:53 | コメント (418) | トラックバック
【セキュリティチェックポイント】 A.6.1.4 情報処理設備の認可プロセス
─────────────────────────────
ISO27001 情報処理設備は誰が決済するか明確か?
─────────────────────────────
【セキュリティチェックポイント】
情報処理設備は誰が決済するか明確か?
【引用】
A.6.1.4 情報処理設備の認可プロセス
新しい情報処理設備に対する経営陣による認可プロセスを定め,
実施しなければならない。
【ISO27001対応】
情報処理設備の決裁権を明確にする
受け入れ基準を明確にする
【最低限】
個人の情報処理設備・装置の持込を厳しく管理する
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:50 | コメント (4) | トラックバック
【セキュリティチェックポイント】A.6.1.2 情報セキュリティの調整
ISO27001 セキュリティの最上位組織及び決済組織があるか?
─────────────────────────────
【セキュリティチェックポイント】
・セキュリティの最上位組織及び決済組織があるか?
【引用】
A.6.1.2 情報セキュリティの調整
情報セキュリティ活動は,組織の中の,関連する役割及び職務機
能をもつ様々な部署の代表が,調整しなければならない。
【ISO27001対応】
・セキュリティに関する決済組織を明確にする。
・必要に応じて推進チームを設ける。
【最低限】
・セキュリティに関する責任と権限がだれにあるか定める。
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:43 | コメント (15104) | トラックバック
A.6.1.1 情報セキュリティに対する経営陣の責任
─────────────────────────────
ISO27001 セキュリティに関する経営陣の責任と権限を明確にしているか?
─────────────────────────────
【セキュリティチェックポイント】
セキュリティに関する経営陣の責任と権限を明確にしているか?
【引用】
A.6.1.1 情報セキュリティに対する経営陣の責任
経営陣は,情報セキュリティの責任に関する明りょうな方向付
け,自らの関与の明示,責任の明確な割当て及び承認を通して,
組織内におけるセキュリティを積極的に支持しなければならな
い。
【ISO27001対応】
経営陣の情報セキュリティに対する責任と権限を割り当てる
【最低限】
サーバ管理、ID管理、ネットワーク管理などを正式な依頼内容
として現在の担当者に伝達する。
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:40 | コメント (1479) | トラックバック
2006年11月14日
ISO27001/ISMS 可用性:エンティティって何だよ!
今ISO27001理解度テストを講習用に作成しています。
販売予定はないです。欲しい方は個別に連絡くださいね。
回答と解説作るのがめんどくさいんですよ。
だれかお手伝いしてくださいませんか?(半分冗談、半分本気)
今週中にはいそみくには、設問を公開しようかと思います。
理解度テストを作りながら、可用性とは?
に答えさせようと用語及び定義を見たが・・・・エンティティ?
なんじゃそら?
用語及び定義でそんな難しい言葉使われたら
余計わからん!
と思いませんか?
記事内容が良かったので、人気ブログランキングに投票する
yama : 10:18 | コメント (30) | トラックバック
2006年09月14日
ISO27001 定期的に方針を見直しているか?
〜 失敗しないISOコンサルティング 〜
ISOコンサルタントは十人十色、コンサルティングの手法も様々です。
そのコンサルティング手法を把握・検討し、御社に見合ったコンサルテ
ィングを活用する事が、その先のISO認証取得活動、及び継続的改善に
大きく影響する事でしょう。
間違いのないコンサルティングを活用する事も、ISO認証取得において
重要な事と言えるでしょう。
http://www.isosoken.com/z_consul/menu/total/index.html
ISMSがISO27001へとISO化され、JIS版も2006年5月20日正式発行!
それに対応した改訂版の販売を開始!
解説付ISMSマニュアルを中心に五つの手順書によって文書化を完成!
『ISMS(情報セキュリティマネジメントシステム)文書化の秘訣』
─ISO27001対応版─
http://www.isosoken.com/text_tool/isms/gt2700001.html
┃--ISMS/ISO27001:帰りの5分で情報セキュリティチェック--
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…
┃ セキュリティ意識を持ち続けることが最大のセキュリティ対策。
┃ セキュリティ意識を持たせ続けることが最大のセキュリティ対策。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…
─────────────────────────────
ISO27001 定期的に方針を見直しているか?
─────────────────────────────
【セキュリティチェックポイント】
定期的に方針を見直しているか?
事業が新しく立ち上がったら方針を変える必要はないか?
新しい事業所ができたら方針を変える必要はないか?
【引用】
A.5.1.2 情報セキュリティ基本方針のレビュー
情報セキュリティ基本方針は,あらかじめ定められた間隔
で,又は重大な変化が発生した場合に,それが引き続き適
切,妥当及び有効であることを確実にするためにレビュー
しなければならない。
【ISO27001対応】
・定期的な見直しの検討
・事業の拡大・及び拠点の拡大時に見直しの検討
【最低限】
・事業の拡大・及び拠点の拡大時に自社の重要な資産
に関して伝達し共有する
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 18:58 | コメント (0) | トラックバック
2006年09月10日
ISO9001/ISO14001/ISO27001同時取得の支援が始まりました。
先週からISO9001/ISO14001/ISO27001同時取得の支援が始まりました。
これまでISO9001/ISO14001の同時取得やISO9001/ISO27001の同時取得
ISO14001/ISO27001の同時取得がありましたが3規格の同時取得は始めてです。
取得自体はそれほど難しくないのですが、どういった推進体制、どういった仕組み
どういった文書構成にするのが良いかは悩みどころです。
今回は少し余裕を見て8ヶ月での構築ですので、お話を良く聞かせていただき
よりよいシステム構築ができればと思っています。
記事内容が良かったので、人気ブログランキングに投票する
yama : 23:12 | コメント (7) | トラックバック
2006年08月29日
ISO27001 情報セキュリティに対する組織の戦略は明確か?
〜 失敗しないISOコンサルティング 〜
ISOコンサルタントは十人十色、コンサルティングの手法も様々です。
そのコンサルティング手法を把握・検討し、御社に見合ったコンサルテ
ィングを活用する事が、その先のISO認証取得活動、及び継続的改善に
大きく影響する事でしょう。
間違いのないコンサルティングを活用する事も、ISO認証取得において
重要な事と言えるでしょう。
http://www.isosoken.com/z_consul/menu/total/index.html
ISMSがISO27001へとISO化され、JIS版も2006年5月20日正式発行!
それに対応した改訂版の販売を開始!
解説付ISMSマニュアルを中心に五つの手順書によって文書化を完成!
『ISMS(情報セキュリティマネジメントシステム)文書化の秘訣』
─ISO27001対応版─
http://www.isosoken.com/text_tool/isms/gt2700001.html
┃--ISMS/ISO27001:帰りの5分で情報セキュリティチェック--
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…
┃ セキュリティ意識を持ち続けることが最大のセキュリティ対策。
┃ セキュリティ意識を持たせ続けることが最大のセキュリティ対策。
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…
─────────────────────────────
ISO27001 情報セキュリティに対する組織の戦略は明確か?
─────────────────────────────
【セキュリティチェックポイント】
情報セキュリティに対する組織の重要度や
今後の戦略は明確に定められているか?
【引用】
A.5.1.1 情報セキュリティ基本方針文書
情報セキュリティ基本方針文書は,経営陣によって承認
されなければならず,また,全従業員及び関連する外部
関係者に公表し,通知しなければならな
い。
【ISO27001対応】
・情報セキュリティ方針文書の策定
【最低限】
・自社にとって大事な情報資産とは何かを従業員
に伝える
あなたは、このチェックを今日、どう活かしますか?
※知っているかどうかではない。問題は、実践しているかどうかである。
↓ISO27001文書作成フォーマット
『DOME for ISO27001』
http://www.isosoken.com/tools/workstrust/wt2700001.php
↓ISMSではセキュリティ教育がなされていないのは致命傷です。
『ISMS/BS7799 情報セキュリティの基礎(CD-ROM3本パック)』
http://www.isosoken.com/text_tool/isms/fp2700001.php
(ISO27001対応しています)
『すぐできる ISMSリスクアセスメントの進め方』
〜ISO27001対応〜
http://www.isosoken.com/text_tool/isms/tlisms001.html
こちらも読んで見て下さい。
■ISO総合研究所
http://www.isosoken.com
■ISO総合研究所 ISO27001ページ
http://www.isosoken.com/isms/
■ISO総合研究所山口日記 Blog
http://blogs.yahoo.co.jp/yamaguchinoriaki
■欲しいセミナーを投稿
http://www.isosoken.com/isoclub/survey/kaizen/iso27001/
■オススメ審査機関を投稿
http://www.isosoken.com/isoclub/survey/judging_com/index.php
記事内容が良かったので、人気ブログランキングに投票する
yama : 08:29 | コメント (174) | トラックバック
2006年07月14日
情報セキュリティ基本方針文書とISMS基本方針
情報セキュリティ基本方針文書とISMS基本方針
のところのグレーゾーン
ISO27001では本文にISMS基本方針という文言と附属書
に情報セキュリティ基本方針文書という文言がある。
これらに関して、同じものか異なるものかに関して
悩まれている人もいるのではないでしょうか?
ぼくも構築段階で悩んだうちの一人です。
じゃあ今はクリアなのかと言うと、ある意味クリアです。
どうクリアなのか?
基本的に、まだまだ解釈にバラツキがあると言う意味で
クリアです(笑)
ISO関連に携わっていれば、文言が異なれば別物と
捉えるのが常識化していると言えるでしょう。
では実際はどうなんだろうか?
あるISMS関連のメルマガ発行をしているコンサルタントと
ここの部分で情報交換をしたんですが、その人の捉え方では
□引用□□□□□□□□□□□□□
私は、その辺を疑っています。 英語では、文中何度も登場する語句は
同じ意味の違う表現をするのが日常です。 それが出たという可能性が
あります。
また、4.2.3 g) のセキュリティ計画 について、ISO技術委員が
「「セキュリティ計画」を作れという意味ではなく、「情報セキュリティに関して
作成するであろう訓練計画や監査計画など」を意味している。」と言っていた
という事もあります。
日本語と違い、「同じ物を指す時には同じ語を用いる」という文化ではない国
が中心に作っているわけですから、「違う語だが同じ物を指している可能性が
ある」とも考えられるのです。9001や14001では、国際的に理解しやすくする事
を考慮してある様ですが、27001にはそこまでの様子が見えません。
□引用終わり□□□□□□□□□□
でした。
また某外資系大手審査機関の審査員は、
□引用□□□□□□□□□□□□□
違う。
要求事項がそもそも違う。
なのでISMS基本方針と情報セキュリティ方針は別途作成し
てくださいとのこと。
□引用終わり□□□□□□□□□□
山口は、どう捉えているか?
基本的には異なるものだと思っています。
だってISMSと情報セキュリティは別の意味。
ISMSはマネジメントシステムだし、情報セキュリティ
はマネジメントシステムってことじゃない。
なので別の意味と捉えています。ただこれらが
まったく別に作成しなくてはならないか?となると
そうは思いません。
ISMSと情報セキュリティが同じ文言で書かれても良いと
考えています。
それよりももっと大事なのは、本当はトップの戦略性
を伝えるメッセージなので、伝わりやすくなっているか
を重視したいです。
審査員も認めていたことですが、ISMSの捉え方には
かなりのギャップはある。だいたい収斂するまでには
2年くらいかかる。
なのでコンサルの方が先に行ってる部分が多々あるとの
こと。
数年したら、「なんだったんだ?」という審査結果
がしばらくは発生しうると想定した上で、ぜひ望んでく
ださい。
記事内容が良かったので、人気ブログランキングに投票する
yama : 22:23 | コメント (402) | トラックバック
2006年07月05日
ISO27001 4.2.4d)に関する審査機関の考え方
今回のISO27001の大きな変更の1つと言われている、いわゆる有効性の測定に関して
です。
本文は下記の通り
────────────────────────────────────────
4.2.2 ISMS の導入及び運用
d) 選択した管理策又は一群の管理策の有効性をどのように測定するかを定義し,また,比較可
能で再現可能な結果を生み出すための管理策の有効性のアセスメントを行うために,それらの
測定をどのように利用するかを規定する[4.2.3 c) 参照]。
────────────────────────────────────────
現在3社ほど審査機関の情報を得れましたので参考にしていただければと思います。
A社:測定事項をきめ、数値的に測定しなさい。
管理策に関して濃淡はあっても良いけど
測定ですから、measurableです。
内部監査で有効性を測定するだけでは
NGです。
B社:不適合の件数とかでも良いですよ。
C社:管理策についてみると言えば内部監査
くらいじゃないですか?なので内部監査
で良いんですよ。これはあくまでもコンサル
行為じゃなく一般論として述べてますが。
まだまだ審査機関でさぐりさぐりという感じです。
おかしな指摘も結構増える可能性もありますね・・・
新しい規格なのでしょうがないかもしれません。
審査員さんにお聞きすると、
「2年くらいしないと落ち着いてこないでしょうね」
なんて話もあります。そんなの待ってるのも違うとは思いますけどね。
一応現状での各審査機関の見解です。今後大きく変更される前提で
見てくださいね。
審査機関名は、たぶん公開すると怒られますので
もし気になったら個別にメールください。
記事内容が良かったので、人気ブログランキングに投票する
yama : 10:50 | コメント (786) | トラックバック