暴走する日本法人?審査機関も例外に非ず?

 

暴走する日本法人?審査機関も例外に非ず?

どの国と比較しても、どの審査機関と比較しても、どの規格と比較しても、異常なパフォーマンスを発揮している。外部機関による調査を実施した話は有名。問題の日本法人のISMS審査は非常に際立った結果を示している。誰が見ても不適切審査を示すもの。他の法人、同じグループ内の他国法人、他の標準規格(QとかEとか)とのどれと比較しても異常なデータが並んでいるらしい。何らかの深刻な問題が懸念されている。

.*.
  1. 問題の審査機関を推奨するコンサルは玉石混合。石の割合が多いらしい。いい加減なコンサルに評判がいい。ある札付きのコンサルは問題の審査機関だけをクライアントに紹介している。望んでも居なかった癒着体質を押し付けてきたコンサルは特に問題です。
  2. 其の手のコンサルは受けることはクライアントにとっても不幸なことです。中には暴力団のようなヤクザまがいのコンサルまで居ます。問題の審査機関は結果的にはこういう不良コンサルと結託して事業を拡大しているとも言えます。
  3. 第三者認証制度の根幹を脅かす行為ですね。
  4. JIPDECも勿論深刻に捕らえています。非の無いところに煙は立たず。人の口に戸を立てることは出来ない。不健全性には早くから気付いていて、認定審査の機会を捉えて是正を促していますが、手を焼いているのが実態。
  5. グッドポイント大好き。"おべんちゃら"?。迎合的姿勢が強いので審査と関係のないグッドポイントを好んで出すようにしています。
  6. 観察事項を何十件と出しておいて不適合はゼロということは珍しくありません。不適合を出すのが大嫌い。不適合を出すと手間が掛かるので、特にリーダーの予定が狂ってしまうため極力出しません。メンバーを説得したり強権発動したりして出しません。審査チームとはそういうものです。。
  7. 観察事項もクライアントがクレームすると削除します。何処から何処まで迎合的。観察事項は記録(審査報告上)はどうでもいいレベルの扱いです。
  8. 不適合は簡単に観察時効になり、観察事項は簡単にりジェクトされてしまうので、残るのはグッドポイントばかり。1割はおろか下手すると3件に1件はグッドポイントということもあります。採算性を追いかける審査機関の審査レポートはグッドポイントのオンパレードです。分かりやすいですね。
  9. 問題の審査機関は見積の工数単価が高い。ここが味噌です。見積もり比較をすると金額は程々。他社とよく似た金額。でも工数が極端に小さい。ガイドラインのミニマムでしか数字(工数)持ってこない。十分時間を掛けてくれない。いつもミニマムで済ますのは統計的には一種の手抜き審査かも。工数ミニマム至上主義。統合審査に走る理由ですね。
  10. この頃は珍しくない在宅勤務の弊害もあります。会社へきて自由に討議する環境が無いから、一人ひとりが勝手に審査している。共通価値も醸成しにくい。規格理解がばらばら。之は困ります。一貫性は維持して欲しい。間違いや理解不足も多いのも困りますが、なにせ効率最優先で、具体的に確認することも出来ない。付加価値審査という言葉が好きでよく使うが付加価値が何もない。
  11. 契約審査員への依存が大きい。社員同様に規格解釈はばらばら。それでも実務経験が多い人は常識からずれないので少しは安心できる。若くして審査員になった社員よりははるかに安心できる。
  12. 社員の若手審査員は管理業務の実務も何も経験が無いのでピンボケ。手順どおりに表層的にこなしているが、まるで内部監査の延長みたいな審査だ。不味いことに、実務経験の無い若手が問題の審査機関の中堅に領域に入ってきているので、ますます頼りない。
  13. 優秀な審査員も居る。こういった使える審査員は固有名詞で選ぶ必要がある。問題の審査機関の育成システムは貧弱の極みで、黙っていると順送りあてがいぶちになる。
  14. 若手中堅を中心にパワハラも横行している。噂どおりの不健全な組織になっている。いまだに改善はない。若手といえば聞こえはいいが普通の企業に入ってまともに勤められなかった人間だから、閉鎖社会のなかで年齢の上下無くパワハラに走る。それをとがめる監視も無ければ管理も無い。
  15. 転職を繰り返して問題の審査機関に止まった若手中堅は要注意。門前の小僧で直ぐに仕事を投げる輩だ。医者ならやぶ医者。もっとも今のトップも転職を繰り返している。教わったような経営管理の取り組みをしているが所詮は販売店の店長の発想しかない。困ったものだ。
(続く)

本当の問題は?問題の本質を見極めましょう!

.*.


  • 現場が創意工夫するのは日本人ビジネスマンでは当たり前。改善活動の賞賛は現場の暴走をも促す。トップが海の向こうなら暴走は止まらない。結果オーライ。日本法人がよい結果を出すことも有るが、本社の手に余る。暴走はA社もB社もC社もないのだ。外資系日本法人では日常茶飯事だろう。


.*.

「閑話休題ISMS」, 2006年03月18日

2008年03月10日
ISO不正企業排除!
経済産業省は不祥事が相次ぐ中でのISOの信用回復に動き始めた。ということに成るかな。JAB等の国際規格運用を厳格化することで要請が入るだろう。

効率一辺倒の今の審査を見直すチャンスでもある訳だが、審査機関の過当競争にどのように歯止めを掛けるかが問題。

実は極めて簡単です。

サイトに掛ける審査工数を、増やすようにガイドすることです。サイトが分散しても纏めて見積もってしまうこと(そのほうが安くなるからですが)を戒める。

規格の厳格な運用とか型どおりに言っているだけでは、結局問題は見過ごされる。経産省に識人がいないから既存の枠組みを好む勢力に適当にごまかされてしまうかもしれないが、この単純な本質に入ってこないと目的は達成できない。

続きを読む ...
 
[ 投稿者:ISMSNEWS at 17:58 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年11月02日
持ち出せば失う
外に持ち出せば、忘れるか、奪われるか、破損させるかして、結局のところ失うことになる。

http://www.asahi.com/national/update/1102/TKY200711020112.html?ref=rss

後を絶たない。

・出かけても持ち出さない。
・出かけない。

会議は最先端の電話会議、テレビ会議。専門の宅配業者。

*

肌身離さず! ウエラブルですか? まず無理ね。

*

逆転の発想�
なくしても大丈夫。超暗号化。

*

逆転の発想�
ネット上に預けっぱなしにしておいて必要時に鍵で開けて見るだけにする。本当に大事な資料は置けない。所詮仕事レベルは置ける。安全なインターネット環境を準備し、社員はシンクライアント相当のマシンを持ち出して、必要時にアクセスして利用する。シームレス・セキュリティ。社内も社外も同じインフラ。イントラ・インターネット環境。会社の情報部門が構築するのが普通と考えがちだ
が、そんなノウハウは企業情報システム部門にはない。だから、KDDI、ニフティ、グーグル、IBMなどに委託することになる。モバイル端末も社内社外
シームレス仕様になるだろう。

端末(ハンディ多機能端末)、バイオ、PIN(暗証コード)。端末はID付き(ノード認証付き)プラス位置情報付き。位置はゾーンセキュリティを社内社外でダイナミックに設定する。

最近多いIC付きIDカードは単独では、其のカードを奪われればアウト。他と組み合わせればセキュリティは上がるが、ベストパートナーとして生き残る可能性は小さい。PKI署名情報を格納していても、それは端末に入れれば済むこと。

ICカードはただのパッシブなツールでシームレス管理には向かない。アクティブツールの端末であること。電話の届かないところでは、モバイルシンクラも使えないから。

ローカルに蓄えた情報は認めない。認める場合は自然揮発型(時間経過OR再起動の早いタイミングで自動消去)。

「モバイルシンクラ(ノード)+多機能端末(ノード+位置)+バイオ+PIN」の全てが揃って始めて利用可能。

如何?
[ 投稿者:ISMSNEWS at 21:01 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年10月26日
フォレンジック
フォレンジックと言う聴きなれない言葉に出会うが直ぐに忘れてしまう。

「法的に有効な手段で過去に発生した事象を立証することが可能になる」ことがらかな。

改ざんが行なわれた、アクセスがあった、メールが送られた、などの情報システムの利用に関わる事象を合理的に証明可能とする活動が、多分、デジタル・フォレンジックかな。

法的な問題が発生した時に、確実に相手(加害者)を訴えることが出来る、あるいは、訴えられた時に抗弁できる材料として用意すること。

近頃、電話をすると証拠のために録音しますとメッセージが出ることがある。これは変ないたずら電話などは防止できてしまう。

ところで、証拠を集めまくった時に、自分に非がある材料も集めてしまう。この場合、隠蔽・隠匿しても良いのかな?
[ 投稿者:ISMSNEWS at 20:04 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年10月04日
ISO1007
ISO1007

「品質管理-構成管理の指針」と言うものらしい。構成管理って実はあまり馴染みがないので基本を押さえたいが、指針の中で構成管理の定義を以下のように行なっているらしい。

***/+/***

「構成管理とは,製品の構成を文書化するものである。構成管理は,ライフサイクルの全段階で,識別及びトレーサビリティ,その物理的及び機能的要求事項の達成状況並びに正確な情報へのアクセスをもたらす。構成管理は,組織の規模並びに,製品の複雑さ及び性質に基いて実施できる。構成管理は,ISO9001 に規定されている製品識別及びトレーサビリティ要求事項を満たすために使用することができる。」

***/+/***

これってとっても大変なこと。

しかし、意識していなくても都度開発現場でやっていた。レベルはバラバラ。組織としての取組みは弱い。そうでもない。コンフィギュレーションマネジャーなんか置いていたりするから、商品開発ではしっかりやっている。問題は社内情報システムはもともとかき集め的な要素があるので、この辺のマネジメントは弱い。

だから、担当が変わるとこぼれる物もあったはず。

規格にするのはそれを許さない業界の姿勢。これは要求規格ではなくて規範規格だろう。

ISMSでは、17799の12.4.3.の実現の時に記載(宣言)してしまえば要求規格になる。ただ、12.4.3はプログラムソースコードのアクセス制御の切り口での要求なので構成管理全体の要求に答えるものではない。

*

構成管理と変更管理の整合化:

構成管理と変更管理はものの本をつまみ読みするとどうも上下がはっきりしない。一度ここで関連を整理しておきたい。

今の変更管理はシステム変更というイベント(プロジェクト)を立上げ・実施し・完了させるための手順を明確にすることに主眼が行っている。承認プロセス
である。正しい要求を正しくレビューし実行し確認する。

一方、構成管理は、システムのライフサイクルを通じて、構成内容(構成方法、環境、パフォーマンス、不具合などシステムを確実に実現させるために必要な一切の情報を含む)を管理するもの。

変更イベントの出発点と終了点の間の手順は変更管理、出発点の状況と終了点の状況の管理は構成管理のスパンと理解して良さそうだ。ストックとフローの関係のイメージで宜しいかと。

***/+/***

構成管理は、システムをターミネートしてから一定期間保管する。構成管理のスタートポイントは遅くとも最初にシステムインテグレーションを行なうシステムテストの段階から始めなければならない。

構成管理の担当者は構成(インテグレーション)を識別し、システムの各バージョンの構成の内容を台帳で管理すること。

不具合対応時に参照する性格のものであるため、台帳は容易に参照できるように考慮すること。

システム主管はシステムの構成管理を行なうとともに、その内容を構成管理統括担当提出すること。構成管理統括担当はシステムのシステムテスト開始からターミネートまで構成管理データの保管を行なうこと。

構成管理としては以下の内容を含めること。システムの特性により適宜追加すること。

・システム名、システムインテグレーション識別名
・文書構成:文書名、版番号、発効日・改定日
・ソフトウエア構成:プログラムタイトル、ファイル名、バージョン、日付
・ハードウエア構成:
・ネットワーク構成:
文書には設計書・手順書・テスト結果・不具合情報・前バージョンとの差異などシステムの機能的・物理的特性の管理に関するもの一切を含める。

構成管理情報の改ざんが行なわれると、トラブル時のトレースあるいはシステム変更が正しく出来ない。構成管理の独立した担当が望ましいが、兼務でやる場合は、結果を構成管理統括担当に提示し、他による改ざんが出来ない手当てが必要である。

***/+/***

(規則案)

上記でいいだろうか。

各システムの主管は、システムの構成管理を行なうこと。バージョンの変更が生じた時は、その構成を明確にし、全バージョンとの差異を容易に理解できるようにすること。

***/+/***
[ 投稿者:ISMSNEWS at 21:24 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

JIS X 0160
JIS X 0160 あまり目にしたことのないナンバーです。ネットで見ると国際規格「ISO/IEC 12207:1995 Information technology - Software life cycle process」を日本語に翻訳したものとのこと。1996年発行ってその後の見直しはどうなっているのか知らん。



・取得プロセス
・供給プロセス
・開発プロセス
・運用プロセス
・保守プロセス

これが普通の開発運用のフェーズ。



・文章化プロセス
・構成管理プロセス
・品質保証プロセス
・検証プロセス
・妥当性確認プロセス
・共同レビュープロセス
・監査プロセス
・問題解決プロセス

これは支援プロセス又は管理プロセスですね。これもプロジェクト単位のプロセス。



・管理プロセス
・環境整備プロセス
・改善プロセス
・教育訓練プロセス
・修正プロセス

マネジメントプロセス。年度計画のイメージですね。組織単位のプロセスと見てもいいかな。



今更、規格を読む気にもならないが、今まで特に困ることもなかったから無視していいのかな?
[ 投稿者:ISMSNEWS at 21:20 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年09月11日
ISMS拡大時の注意事項
ISMSを部分的に取得してから、漸次拡大は普通のシナリオですが、注意すべきことがあります。

先行して”作ってしまった”ISMSに拘ると失敗します。

一言で言えば、適用範囲の特性に見合ったISMSでないものを無理やり当てはめる懸念があるということです。

腕力が十分あれば別ですが、普通は拡大すると、どうでも良い部署も取り込みますから、最初のISMSが必ずしも適当でありません。一端、最初のものを捨てるくらいに考えないと失敗します。これも、審査機関〜審査員が下手だと最初に作ったものに拘って是正が効きません。事務局も作り直しは普通嫌がります。

でも作り直しが一番まともで理にかないます。

この簡単なことに気付く組織は少なくありません。手間を惜しむと高く付くというより、お仕着せのISMSではPDCAは回りません。事務局だけが体裁を取り繕って空回りさせている無意味なISMSになります。
[ 投稿者:ISMSNEWS at 10:06 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年09月07日
One Management System
「一つのマネジメントシステム」

ISO9000から始まって、ISO14000、ISO27000と来て、今後もどんどんマネジメントシステムの認証制度が出てくる見込みですが、一体、いつまで?どこまで?やれば気が済むのでしょうね。

認証ビジネスのために、あれもこれも振り回されているのか、それだと困ったものです。

実際に、世の中で問題が出て、其れへの対応が不十分だから、個別に専門的に対応している。これは、何かを運用を誤ったからです。認証制度がビジネス的にメリットする人は構わず広げていったですが、流石に過ちに気が付いて、今度は統合マネジメントを言い始めた。最悪ですね。恥の上塗りみたいなもの。問題を更に悪くしている。
[ 投稿者:ISMSNEWS at 17:35 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

意味の無いリスクアセスメント
ISMSを始めようとすると、手始めに問題になるのがリスクアセスメント。特に、変な審査機関というか審査員にぶつかると、ただのリスクアセスメントでは収まらず最悪。所謂、潔癖症症候群の審査員先生です。PDCAが回り始める前に息絶えます。この手の先生を素早く見抜いて、さっさと忌避できれば、深手の傷を負わずに済みますが、その見抜く方法は、適用範囲の確認のときに簡単に出来ます。リスクアセスの結果が適用範囲の記述に反映しているようなことを期待している節を見せる審査員先生は要注意と言うか即忌避ですね。

意味の無いリスクアセスメントになるのは、全点網羅型の資産台帳が出発点で
す。潔癖先生の言い分は、どのように重要な資産を洗い出したかを明確に!ですが、全ての失敗はここから始まります。そこが潔癖先生ならではです。

ではどうするか。

取り敢えず重要と思われるもの。そのカテゴリーあるいは定義を先に決めてしまう。方針の一環として、プロセス特性に応じた内容でも共通のものでも構わな
い。適用範囲を拡大しながら進めるときは、成長に応じて識別要求を区分しても構わない。

一気にやって負荷を掛けないこと。少しずつ進める。トップを諌める。急発進・急ブレーキは怪我の元。

それでも、意味の無いリスクアセスメント

それは既に分かっていることしか分からないと言う現実です。リスクアセスメントと言う形を記録で作っても、新たな発見は殆んど有りません。それはリスクアセスメントのスキームがそうなっているからです。即ち、リスクアセスメントでは既に認識できている脅威・脆弱性を並べる訳で、新しいものは殆んどの場合ありません。最初から問題と分かっているものを単にリスク評価シート等の構造図上に展開したに過ぎないからです。

トップの「四の五の分析なんかやってないで、さっさと対策してよ」になる訳です。

身体で感じているリスクを文書・記録にする作業だと割り切れば、負担も無く
さっさと出来ます。

「リスクアセスメントとは、未知のリスクを発見する手順でなく、既知のリスクを構造的にあるいは定量的に理解する手順」

網羅性の呪縛から漸く抜け出ることが出来ます。

ではリスクはどこで認識されるか。通常の業務プロセスの中で認識できます。というより其処でしか本当のリスクは見えてこない。もっとも感性を磨く活動なんかは当然必要ですが、いずれにしても現場です。
[ 投稿者:ISMSNEWS at 15:50 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年08月28日
ISO規格の相互関係
ISO規格が複数出てきて微妙にカバー領域が重なる。気分が悪いので簡単に整理しておくことにした。

スタート:「組織の目的達成」が基本命題。

・目的が達成できる度合い=リスクであることを考えるとRMS。

・目的達成の仕組み=プロセス品質であることを考えるとQMS。

結果からのアプローチと手段からのアプローチの差で、基本命題を素直に受けている。

リスクは期待とのギャップであるが誰の期待かを考えた時に、経営者(組織)の期待とステークホルダー(経営者を含む全ての関与者)の期待の両方あるが、組織は誰のものかを踏まえれば後者の視点が求められる。CSR
その他の規格:BCMS、EMS、ISMS、ITSMS、・・・は特定問題に対する専門的な要求を取り込むための特定問題の側面のアプローチと見たほうが収まりが良い。

QMSは極めて汎用的な形で規格を設定できているが、RMSに相当する規格は明確でない。近いポジションはBCMSとかSRMS(CSRのISO26000。マルチステークホルダの概念:消費者まで含めて関与者が参加する経営のあり方も入って来ているのが特徴的)とか。SRMSは目的達成は全員ハッピーな形=民主主義?で、それを脅かすものは全てリスクとする。?

事業継続は、まだサービスを提供する側の視点での捉え方。SRMSはサービスの受けての視点だから、結果管理に近いので、さらに信用とか印象とかまで入り込むことも有り得るので、結果指標としては今のところ最有力と考えて良さそう。ただ、SRMSが認証規格かガイドラインかは気になるが、数値化された結果指標として、誰の目にも明らかな達成度が公開されることになるであろうから、認証する必要すらないかもしれない。

尚、統合マネジメントシステムIMSは、単に枠組み上あるいは書式上の統一化であって、本質的な意味を持つものではないので、ここでの問題とは直接関係なさそうだ。

という事で、やはり、判定する側から見たら、QMSの審査〜プロセスの審査が、組織から見たら品質マニュアルの作り込みが大事というか必須ですね。
[ 投稿者:ISMSNEWS at 13:10 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年07月30日
Organization vs. Management
ISO関連の規格を見ると良くお目にかかる用語に「Organization」と「Management」がある。「Organization shall ...」とか「Management shall...」とか。日本語化された規格では同じ意味で使われている様に見えることがある。どの規格の何処とは思い出せないから、解説していた人または書物の問題かもしれない。

ここでは直訳で「組織」と「経営者」と読み替えてみる。其の方が現実的で正しいからです。問題は意味することの理解です。

「組織はレビューをすること」とある場合は、組織の役割責任、あるいは組織の活動計画に、レビューの項目が入っていることを要求します。計画的に内部監査が行なわれることなどが該当します。

「経営者はレビューをすること」とある場合は、経営者によるレビューですか
ら、組織レビューも一切を含めて、経営者自身によるレビューが実施されることが要求です。

もっと難しいのはマネジメントがあちこちで使われていること。
[ 投稿者:ISMSNEWS at 19:13 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年07月28日
JIPDECの県別ISMS認証取得事業者数
JIPDECの県別ISMS認証取得事業者数の表はいつ見ても変。間違っている。この表を作った人は日本人じゃないね。そうか超偏見の持ち主。公共の仕事に携わるのは止めた方が良いと思いますが、如何でしょうか。

従来の分け方を無視してやるとデータの意味が変わってしまう。さっさと普通に戻しなさい。関東、中部、近畿の区分ぐらい理解してからやって欲しいね。要するに中部をまるで分かっていない。中部甲信越、中部北陸とあってここから外すのは山梨だけです。後は全部中部です。

顔が東京向いたら全部関東にしているようですが、そう言うことをしたら、沖縄も北海道も関東になりますね。分けている意味が無いでしょう。

関東から3つ、及び近畿から1つを外して中部に入れること。

[ 投稿者:ISMSNEWS at 11:06 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年07月11日
お題は「審査」
鮮やかな感動を伝える一句を頼みます。
[ 投稿者:ISMSNEWS at 19:22 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年06月13日
関西人のリスク感覚
まだ噂だから本当のところは分からない。以前にも流れていた噂ですね。あの大手企業がISMSを本格的に始めるらしい。グループ総がかりでの取り組みはチャレンジ。拍手。情報セキュリティなら当然とも言えるけどなかなかどうして出来ないこと。

がしかし、問題は選んだ審査機関でしょうね。例の規格の一字一句に拘ることで有名なところらしい。

周り回ってこちらにも来てくれたりしたら、勘弁ですわ。

思い出すだけで嫌になる。

はっきり言うてはた迷惑ですが。会社もやるのは構わんけど考えて欲しい。

まあ形式的で何もならんこと分かってから修正ですか?




幸さんが泣いてますよ。
[ 投稿者:ISMSNEWS at 20:29 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年05月23日
功を焦った認証取得
功を焦った認証取得はどういう結果を招くか。ある人には耳の痛い話。

組織を切り刻んでの取得はよくある話。これは方向がまとまった組織全体への拡大を意識している限り問題にならない。

厄介なのはシステムを刻んだ場合。特定のシステムを適用範囲とした場合はやがて収拾が付かなくなる。

取得を急ぐ場合は特定プロジェクト、特定システムだけで安直に取得に走る。困ったことにそう言った事を焚き付けるのが審査機関ですから。始末が悪いのです。

功を焦ったのは審査機関ですからね。

そういうことに気付いたらさっさと返上すべきです。何の価値も無いだけでなく返って歪んだマネジメントになり組織に取って害となります。
[ 投稿者:ISMSNEWS at 20:46 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2007年05月22日
IMS
囲い込み戦略に使おうと各社が躍起になるなか、一歩リードしたのは圧倒的な檀家集団を抱える品質協会です。
サイトのオセロゲームでなく、規格ごとひっくり返すやり方だ。管理の基本の品質の檀家ベースを使って統合の名の下に環境もセキュリティーも取り込む算段ですね。
BSIはそのため又しても新たな規格作りに入る。PAS99がそれです。規格を作ったからと言って特にアドバンテージが有るわけではありません。

リーダーとフォロアー、その境が難しい。
[ 投稿者:ISMSNEWS at 08:35 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年12月06日
適用範囲外指摘
滅多にないことだが外部インターフェイスを見ていて適用範囲外領域の問題を見つけて指摘する審査員がいます。審査員の経験不足が前提にあってのことですが、普通は所謂インターフェイスの管理策として適用範囲内の管理策の問題に視点を変えて問題の本質を確認します。

しかし始末の悪い審査員が加わるとしかもベテランの場合は悲惨です。一旦思い込んだら規格解釈の問題に土俵を換えてでも指摘を撤回することはありません。

ベテランで始末が悪い審査員はいえば札付きですから表に出てこないのですが、忙しい時期に借り出されて表にでてくるのです。

ISMSの事務局は札付きが申請されたら拒否するのが大切な仕事ですね。

オフ会のオフ会では、その審査機関を選んだ段階で既にミスをしていると笑い者にされていた。

確かに。

打算で始めたISMSは打算の根拠が曖昧になった段階でいろいろな所を足掛かりに破綻していくものですね。

適用範囲外の指摘は是正確認のステップまで続くので審査の有効性はいよいよ妖しくなります。

審査機関によっては判定会議がありますがセレモニーに過ぎないし記録に残した物を変えることはまずありません。

適用範囲内の問題を指摘出来ない時はオブザベーションとするのが常識ですね。そして札付きを抱えて送り込むような審査機関を選ばないのも常識です。

数社の審査機関の人からそれとなく話しを聞けば直ぐ分かることです。それも出来ない人は事務局には向いていないかも知れませんね。
[ 投稿者:ISMSNEWS at 09:09 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年10月21日
内部監査人資格
内部監査人資格CIA
世界で六万人。

アイエスエムエスとは別物です。
[ 投稿者:ISMSNEWS at 14:19 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年10月09日
Jの神話
ある審査機関Jで聞いた話。半分嘘です。Jの神話。サーベイランスでは仕組みの問題に触れない。仕組みを初回で合格させているから仕組みの問題を指摘すると自分が見落としたことがあからさまになる。だから言えない。更新は三年後だからその時のは仕組みに触る事も言うらしい。二年目も三年目も同じデショ。根拠に乏しい。手抜きを容認させるためのただの言い訳ですね。

入口は規格と首っ引き。その後は枝葉末節でお茶を濁す。こんな認証貰っても有り難くも何でもない。

そもそも他人の判断で進めてお客さんに責任果たせますか、。
[ 投稿者:ISMSNEWS at 14:20 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年10月05日
オフィス移転の情報セキュリティ
オフィスの移転、オフィスの引越し

そのような時にも情報セキュリティ問題は避けて通ることは出来ません。

情報セキュリティ問題に対処する基本は常にリスクアセスメントにあります。

1)先ずは、移動させる情報資産の洗い出しを行います。
・資産は引越し荷物ですから明確です。
・書類、メディア、パソコン/サーバー
・ケーブルとかディスプレィなどコンテンツに関係ないものは通常の引越しレベルで問題ないでしょう。

2)次に、脅威の洗い出しを行いますが、そのためには以下の状況・プロセスを押さえます。
・移動時の梱包形態
・取り扱い業者
・車両の特性
・運搬ルート
・当日中に作業が終わらなければ、何処で一泊させるか。

3)脅威・脆弱性
�輸送時の事故または不注意による破損(普通の引越しでも此れは確率が高い)
�大手企業の引越しの場合は大量のOA機器を狙っての窃盗(あまり聞いたことは無いがリスクケースとして想定できる)
窃盗は輸送時と一時保管時が考えられる。
�紛失。小物のメディアが何かに紛れて紛失するケース。

�については、
・身元のしっかりした人であることを確認しておく。(確認してもらう)
・輸送時の一時預かり倉庫は鍵の施錠管理、24時間守衛体制などを確認する。不足なら守衛を立てる。
・輸送車とオフィスの間にバッファをおく場合は見張りを付ける。
等の施策で十分であろう。(テロの余蘊赤く新藩についてのリスクは受容する)

�については、
・機密性より、完全性の問題。だから、対策は、本当に重要なファイルは予めバックアップを取る。バックアップの取り方はイントラネット上のファイルサーバを利用するのが一番楽。其処に収まらない場合は、メディアに抜いてセキュリティデリバリーサービスを利用するか、それでも心配な機密情報の場合は自分でジュラルミンケースに腕鍵を付けて手持ちする。銀行の貸し金庫にでも預ける(映画並み)。心配馬鹿に付き合っているとキリがないが、そう言う情報がゼロでもないからやってもらってよい。きっとセコム辺りがサービスしてくれるだろう。電子情報ならサーバーの容量を増やせば済むが、ハードコピーはそうは行かない。

�については、
紛失は始末が悪い。ある確率で必ず発生する。大事なものは只の備品と同じ扱いにしないで、何処にも紛れない工夫をすること。必要なら自分で運ぶ。



引越し2日のために、暗号化ソフトを入れるとか、バックアップサーバーを増量するとか、メディアに改めて抜くとかは、おかしな話だ。「あつものに懲りて膾を吹く」会社は案外真面目に取り組むかもしれない。まあ、だからIT業界は救われているんだろうね。

本当に重要なコンテンツなら日頃から、HDDは引越ししなくてもいつでもクラッシュするチャンスがある訳だから、バックアップを取っているはず。もし取っていなければ今すぐ実施してもらえばよいこと。

日頃やっていないで済ましたことを引越し・移転で大騒ぎして、責任転嫁を図るのは不届き千万ですね。



と言うことで、共有ファイルサーバーには既に重要情報は収まっているし、それでも足りない(容量的または完全性の意味で)場合は、別にメディアに落とされて大事に管理されているはず。

ファイルサーバーは運が良ければ運ばなくて良いし、そのメディアはセキュリティデリバリーを頼めば済むこと。

引越し・移転の実行委員は特に騒ぐ必要も無いことです。



こう言うときに騒ぐのはいつも同じ人ですね。情報セキュリティから合理性を外すとこうなるという見本みたいな。
[ 投稿者:ISMSNEWS at 20:16 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年08月22日
ソックス法と情報セキュリティ
ソックス法のリスク分析にISMSは使えるか?

ソックス対応で洗い出したプロセスから、情報資産の洗い出しに一度落とし、リスク分析に繋ぐ。

逆かも知れない。最初に財務諸表に関係する資産が洗い出しされた、そのリスク分析をプロセスの視点でチェックし脅威脆弱性に繋ぐ。

しかし、IT統制ではシステムが洗い出しされる。システムを資産と見るかシステムを分解して行くかはそこのやり方だろう。

開発フェーズと運用フェーズがある。そこは要注意だ。
[ 投稿者:ISMSNEWS at 21:21 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年08月03日
データセキュリティ基準
ペイメントカード業界・データセキュリティ基準、PCI DSSは国際カード五社が共同で策定したクレジットカード情報保護に関する国際基準。

取引先への遵守要請を始めた。
[ 投稿者:ISMSNEWS at 12:18 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年07月24日
ISO15489
ISO15489はレコードマネジメント関する国際標準。

レコードの「真正性」「信頼性」「完全性」「利便性」の確保についてのガイド
レコードの生成から処理(利用?)・保管・保存・廃棄までのライフサイクルの中での管理ガイド。要求規格ではない。文書管理に対する記録管理に近い概念か、トータルな文書管理に近い概念かは未確認。

マネジメントシステムの国際標準では文書管理・記録管理についての要求が含まれるのでその時のレベルとして求められる内容はこのISO15489を踏まえていることが一つの目処となるであろう。

2001年に制定されたものが現在改訂作業中の様子。2001年版のJIS化:JIS X
0902-1、-2は2005年に行われた。

今回のISO15489改訂でマネジメントシステム(ISO9000/14000/27000)との関連をどのように記載するかは関心の持たれる所です。
[ 投稿者:ISMSNEWS at 21:04 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年06月19日
モバイルコードに対する管理策

モバイルコードとは、インターネットを利用してダウンロードされ自動実行されるプログラムのことらしい。ACTIVE-XとかJAVAとかで作成されたプログラムもその類。

実際に有用なものもあれば、悪意のあるソフトが紛れ込むこともある。要はどのように作りこむかで迷惑な話になる。(場合によってはバグもある)

管理策「A10.42 モバイルコードに対する管理策」では、動作を認可するものとしないものを分けて適切に管理しろとある。

問題は、認可の是非を何を持って行うかだ。

証明書があればOKで、無ければNGか
他に確認する術があるのか

方法が無ければ管理策として成立しない。

証明書があっても悪い札が付いていたら排除しなければならないし。証明書が無いから排除したとして業務インパクトとの関連は理解しておかないと排除の妥当性が掴めない。

要は、施策/方法論だけで検討を始めると話は空回りです。


[ 投稿者:ISMSNEWS at 20:09 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

証明書の輸出規制

詳細管理策に「A.15.16暗号化機能に対する規則」と言うのがある。

分からないのはこの管理策に関連して、デジタル証明書を海外に送ったら、特に中国に送った場合、何か問題になることがあるのかどうか。

証明書の妥当性は日本側のサーバーで行うので、暗号技術を利用といっても国内の話のはず。どういう難癖が成立するだろう。何かあれば管理策が必要になる。

*

[ 投稿者:ISMSNEWS at 20:07 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

ISMS「始めの一歩」に戻る



構築の意味

・文書化された管理体系の策定(確立)

その文書に従えば正しい行いが出来る=運用が出来る。

・運用開始�案

文書化された体系に頭から従えば、適用範囲・方針・リスクアセスから始まる一連を実施する。

・運用開始�案

全員が揃って正しい活動が出来る前提で考えると、関連する計画の策定が終わっていること。また力量がレディになっていること(必要な教育が完了していること)

運用に必要なコンテンツが洗い出されている状態。

�と�は違うことを言っているようで実際は同じかも。運用可能な文書化レベルってミニマム�まで進んでいないと無理だろう。実質的なシミュレーションに相当。

初回構築はそんなものだ。

2回目からは、リスク対応計画などを踏まえリニューアルされたISMSでの運用開始を経営者は宣言する図になる。ISMSの運用バージョンが概念的に存在する。


[ 投稿者:ISMSNEWS at 20:06 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年04月28日
ISO20000
また新しい規格がリリースされた。
ITIL(アイティルで済ます人もいます)は運用管理の標準。


続きを読む ...
 
[ 投稿者:ISMSNEWS at 09:35 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年03月20日
公益通報者保護法
順法。適合性。

合法的な情報流出。

しかし、内部告発を内部に行うのは誰が考えても無理がある。

いい加減な法律なのかな?
[ 投稿者:ISMSNEWS at 11:13 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年03月19日
登録範囲
認証登録の範囲。認証範囲に同じ。

適用範囲はやはり同じになる。システムの適用範囲はしかし厳密に言えば登録範囲に同じかそれをカバーしていることになる。

時々、定義をはっきりさせない報告が来る。
困る。
[ 投稿者:ISMSNEWS at 14:47 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年03月18日
ハート・ビル法
身体障害者にも優しい建物に関する建築基準を定めた法律。標準の基準と更に改善された基準とがある。この選りすぐれた基準をクリアした建物には「ハート・ビル」のマークを表示できる。

多分、税制上の優遇措置もあるだろう。其れを漬け込んだのが東横インという会社であり、法律違反を意に介さないあの社長の記者会見です。


続きを読む ...
 
[ 投稿者:ISMSNEWS at 18:26 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年03月13日
経営者の責任
ここは何を書いて良いか分かりにくい。

コミットメントも資源の管理も少し発想を変えれば分かり易い。

それは事務局として経営者に頼みたいこと、やって欲しいことを記載するのです。

資源の場合は、必要なリソースをできるだけ具体的に記載します。
勿論、経営者を納得させる理論付けは求められるでしょうか。
[ 投稿者:ISMSNEWS at 22:51 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年03月06日
リスクアセスメント
リスクアセスメントを審査する時に網羅性は大事な要素の一つです。

ですから、ある範囲でやり残しが見付かれば当然指摘します。

でも、中には違った考えの人もいます。第一段階は指摘して良いが、第二段階では指摘出来ない。

理由は構築プロセスがまた走り収拾が
[ 投稿者:ISMSNEWS at 08:01 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年02月25日
ドキュメンテーション
ドキュメンテーションの意味は良く分からないけど、審査にドキュメントは付きもの。

その煽りを受けてやたら紙が増える。
[ 投稿者:ISMSNEWS at 20:53 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年02月24日
試験データのカイザン
東芝が東電に納品した冷却水の流量計の精度でデータのカイザンがあった。

国が求める精度を満たすと東芝と東電は言っているらしいが、問題の本質は異なる。
[ 投稿者:ISMSNEWS at 09:40 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年02月18日
前回の所見と是正のピックアップ。
休日出勤する予定。
[ 投稿者:ISMSNEWS at 15:47 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年02月14日
事業継続計画
ある事象・事態を想定し、
[ 投稿者:ISMSNEWS at 06:29 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年02月11日
適用範囲
毎度のことながら適用範囲は議論が尽きない。

無能の人は無意味な議論を何時までもやっている。少し能があれば引き上げる術を知っている。

マネジメントの範囲。責任の分岐点。これをクリアにする。何をもって境界を分けているか。五つの観点でその範囲と境界の特徴を明解にする。

経営者の視点から記述すると分かりやすい。国際規格では適用範囲から除外した部分と除外の理由の明記が要求に入る。経営者は適用範囲に限定した部分的な組織の長を当てて済ませることは決して好ましくない。それは暫定的、過度的な処置です。

一つの会社の中で、いい加減な線引きをして、向こうは分かりませんがこちらは安全と言って誰が納得するでしょうか。

事件や事故の発生時に適用範囲の中か外かを聞く人がいて外だと安心しているが愚かしいですね。

適用範囲の見極めができなかった訳です。
[ 投稿者:ISMSNEWS at 16:29 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年01月27日
審査員の自己紹介
審査員の中には延々と自分の経歴を話している人がいる。全く意味がない。しっかり付き合う人、例えば事務局には事前に経歴などが渡っているし、その場だけの人にとっては殆どどうでも良い事です。

経歴を長々と紹介するのは時間の無駄だけでは済みません。

審査先と仕事上の関わりが無いこと、当該分野の審査能力が十分なことのみを簡潔に伝えることです。

時間を無駄にする審査員の審査は遠慮したい。

よろしくね。

PS 同じ意味で審査員がスモーカーも困ります。彼ら又は彼女らのタバコ休憩に付き合いたくありません。時間は無駄だし会社も汚れる。第一、側に寄られると臭い。
[ 投稿者:ISMSNEWS at 23:50 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

適用範囲
適用範囲は、対象と非対象を分けること。非対象とする場合はその理由を明確にすること。
[ 投稿者:ISMSNEWS at 23:50 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年01月26日
UKAS
UKASはISO化を急ぐ必要があるだろうか。

BS7799規格の終了を急ぎ必要はあるだろうか。

一人もこぼさず7799から27001へ移したいのが、認証制度に関わるビジネスを行っているところの本音でしょう。脅しはしても右往左往する集団の真ん中に拳を打ち下ろすことはしない。自分の首を絞めることと同じだから。

結局、世の中が動かなければ、2006年4月の意味は変わってきます。BS7799の取得者の大半が日本にあって、そこはJISのタイミングで動くとなると、ある意味では権威失墜にもなりかねません。UKASの優柔不断に見える態度の要因です。

UKASからのリリースレターはどのような内容でしょうか。

http://www.ukas.com/
[ 投稿者:ISMSNEWS at 07:24 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2006年01月08日
JIS Q 27001
翻訳規格。

従って完全に受身。存在価値は翻訳の正当性を主張する以外にはありません。単なる事務処理です。これで半年という時間を使う訳です。

翻訳だけなら既に対訳本が出ていますから、JISというマークが付くだけなんでしょうか。

そのことと経営者の情報セキュリティへの取り組みとどういう関係が有るでしょうか。経営に必要なら翻訳の有無に関わらずあなたは取り組むでしょう。

継続的改善が必要だから続けるのでしょう。継続的停滞が必要なら何もしないことですね。7799を放棄して、あるいはISO27001を選択しないで、「JIS Q 27001」を待つなら、あなたは停滞願望派ということの証明です。
[ 投稿者:ISMSNEWS at 09:43 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

7799 vs 27001
BS7799対ISO27001。もしくは、ISO27001対JIS Q 27001。

新しい27001規格は従来の7799規格と比べて何処がどのように変わっているかは既に整理された情報が出されている。その内、旧規格との違いを問題にする人は居なくなる。

BS7799規格自身も2002年バージョンに切り替わる時はせっせと比較検討していましたが、その内、知識をひけらかす以外の意図では誰も口にしなくなりました。

さて、

ここでは新規格の意味について考えます。

新規格は旧規格に手を加えられて出来ています。改善を行っているということです。単に読みやすくしたのではなく、情報セキュリティを維持するためにマネジメントに対して要求する事項ははるかに厳しくなっています。

どこかの審査機関、どこかの審査員は「新規格の中身は従来と基本的には同じです」と強弁しているようです。強弁が通るなら規格を変える必要はありません。制度の形骸化、あるいは審査ビジネス利益のことだけを考えているのでしょう。

問題は経営者の態度です。

真剣に情報セキュリティを維持したいならISO27001規格へ1日も早く移行すべきです。甘い規格(現行のJIPDEC規格)に甘んずる気持ちなら、最長でなんと2007年の10月(9月?)まで現行のままで行けるのです。こういう選択をする人は、マネジメントの中身(実質)を求めたのでなく、単にあの認証マークが欲しかったと言うことが分かります。恥ずかしい経営者です。事件事故の類が発生した時には誰の目にも当然視されるでしょう。

経営変革は事業再編、組織再編を伴うことが多いようですが、自在に経営変革を進めるには、いつでもシステム変更に対する審査を受ける準備をしておく必要があります。

従って、

既に、BS7799認証を受けている経営者は、2006年3月エンドまで新規格移行の準備を完了させなければいけません。経営が社会から批判を受けることの無いミニマムの努力水準です。



続きを読む ...
 
[ 投稿者:ISMSNEWS at 09:00 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2005年12月28日
27001への移行準備
27001への移行時期は、運の良い人(組織)は2007年3月になり、運の悪い人は2006年4月になります。

もちろん、望む人(組織)は今でも移行できます。現に移行を済ませたところもあります。

さて、自分のところの移行時期が2007年の3月だからゆっくり考えているところがありますが、これはある意味では大きな間違いです。先に書いたように、2006年4月以降は27001でしか審査は受けることが出来ません。

事件・事故が発生して臨時審査を受けることになった場合も、組織変更など適用範囲の変更を行って変更審査を受けることになった場合も、審査の規格は27001です。

発想を変えれば、何が発生しても大丈夫な様に、あるいはビジネス上の要求を妨げることが無い様に、ISMS事務局としては、2006年4月までに準備を終えることが必要です。



続きを読む ...
 
[ 投稿者:ISMSNEWS at 12:29 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2005年12月24日
ISO27001への移行期間
10月14日にリリースされて10月15日から4月14日までは、BS7799で認証をとることはできます。もちろん、審査機関・審査員が準備OKなら27001で認証をとることも出来ます。

組織(企業)はこの半年間はどちらの規格で審査を受けても構いません。

問題は4月15日からの扱いです。前にも書きましたが、27001でしか審査は行いません。審査規格として7799は終わっているのです。

リリース後18ヶ月以内に移行することが必要と説明している人がいます。誤解も甚だしく、18ヶ月で移行を完了させるのは移行プログラム全体の話です。

組織は必ず1年で定期サーベイランスが来ますから遅くとも4月15日以降に訪れるサーベイランスのタイミングで27001を受けることになります。

余裕のある組織(既に移行準備が終わっている組織)は、4月15日以前に27001を受けることは構いません。

続きを読む ...
 
[ 投稿者:ISMSNEWS at 12:37 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2005年11月15日
"ISO/IEC27001"への移行計画
財団法人日本情報処理開発協会(JIPDEC)が、ISO27001のリリースに先立ち、ISO27001への移行ロードマップを10月11日に提示しています。ISOの流れが読めない時のロードマップであり全体として不確かな印象が残ります。

11月15日に内容を改定して、可能な範囲でその後の事実を吸収しております。

http://www.isms.jipdec.jp/ISO27001.html
[ 投稿者:ISMSNEWS at 18:37 | (道草) | コメント(1) | トラックバック(0) | 編集/削除 ]


この記事へのコメント
ISO27001
内容を改定で、非常にわかりやすくなったと思います。
投稿者: ISO27001 at 2007-04-24 16:33:15 [ 削除 ]




2005年10月15日
ISO27001リリース
情報セキュリティのマネジメントシステム標準ISO27001がリリースされました。これからISO27001の認証取得のための要点を検討します。全く初めてのISMSであっても、既にISMSの認証を受けていても、目指すところは同じです。さあ、ご一緒に。
[ 投稿者:ISMSNEWS at 21:34 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

2005年04月01日
「ISO27001 Tool Kit」を始める
ISO27001のリリースを踏まえて、ISO27001の導入を効果的に実践するための手法をツールキットとして提供します。

続きを読む ...
 
[ 投稿者:ISMSNEWS at 18:25 | (道草) | コメント(0) | トラックバック(0) | 編集/削除 ]

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿