[ 前の30件 | 次の30件 ]
2006年03月13日
ここは何を書いて良いか分かりにくい。
コミットメントも資源の管理も少し発想を変えれば分かり易い。
それは事務局として経営者に頼みたいこと、やって欲しいことを記載するのです。
資源の場合は、必要なリソースをできるだけ具体的に記載します。
勿論、経営者を納得させる理論付けは求められるでしょうか。
コミットメントも資源の管理も少し発想を変えれば分かり易い。
それは事務局として経営者に頼みたいこと、やって欲しいことを記載するのです。
資源の場合は、必要なリソースをできるだけ具体的に記載します。
勿論、経営者を納得させる理論付けは求められるでしょうか。
2006年03月06日
リスクアセスメントを審査する時に網羅性は大事な要素の一つです。
ですから、ある範囲でやり残しが見付かれば当然指摘します。
でも、中には違った考えの人もいます。第一段階は指摘して良いが、第二段階では指摘出来ない。
理由は構築プロセスがまた走り収拾が
ですから、ある範囲でやり残しが見付かれば当然指摘します。
でも、中には違った考えの人もいます。第一段階は指摘して良いが、第二段階では指摘出来ない。
理由は構築プロセスがまた走り収拾が
2006年02月25日
ドキュメンテーションの意味は良く分からないけど、審査にドキュメントは付きもの。
その煽りを受けてやたら紙が増える。
その煽りを受けてやたら紙が増える。
2006年02月24日
東芝が東電に納品した冷却水の流量計の精度でデータのカイザンがあった。
国が求める精度を満たすと東芝と東電は言っているらしいが、問題の本質は異なる。
国が求める精度を満たすと東芝と東電は言っているらしいが、問題の本質は異なる。
2006年02月18日
2006年02月14日
2006年02月11日
毎度のことながら適用範囲は議論が尽きない。
無能の人は無意味な議論を何時までもやっている。少し能があれば引き上げる術を知っている。
マネジメントの範囲。責任の分岐点。これをクリアにする。何をもって境界を分けているか。五つの観点でその範囲と境界の特徴を明解にする。
経営者の視点から記述すると分かりやすい。国際規格では適用範囲から除外した部分と除外の理由の明記が要求に入る。経営者は適用範囲に限定した部分的な組織の長を当てて済ませることは決して好ましくない。それは暫定的、過度的な処置です。
一つの会社の中で、いい加減な線引きをして、向こうは分かりませんがこちらは安全と言って誰が納得するでしょうか。
事件や事故の発生時に適用範囲の中か外かを聞く人がいて外だと安心しているが愚かしいですね。
適用範囲の見極めができなかった訳です。
無能の人は無意味な議論を何時までもやっている。少し能があれば引き上げる術を知っている。
マネジメントの範囲。責任の分岐点。これをクリアにする。何をもって境界を分けているか。五つの観点でその範囲と境界の特徴を明解にする。
経営者の視点から記述すると分かりやすい。国際規格では適用範囲から除外した部分と除外の理由の明記が要求に入る。経営者は適用範囲に限定した部分的な組織の長を当てて済ませることは決して好ましくない。それは暫定的、過度的な処置です。
一つの会社の中で、いい加減な線引きをして、向こうは分かりませんがこちらは安全と言って誰が納得するでしょうか。
事件や事故の発生時に適用範囲の中か外かを聞く人がいて外だと安心しているが愚かしいですね。
適用範囲の見極めができなかった訳です。
2006年01月27日
審査員の中には延々と自分の経歴を話している人がいる。全く意味がない。しっかり付き合う人、例えば事務局には事前に経歴などが渡っているし、その場だけの人にとっては殆どどうでも良い事です。
経歴を長々と紹介するのは時間の無駄だけでは済みません。
審査先と仕事上の関わりが無いこと、当該分野の審査能力が十分なことのみを簡潔に伝えることです。
時間を無駄にする審査員の審査は遠慮したい。
よろしくね。
PS 同じ意味で審査員がスモーカーも困ります。彼ら又は彼女らのタバコ休憩に付き合いたくありません。時間は無駄だし会社も汚れる。第一、側に寄られると臭い。
経歴を長々と紹介するのは時間の無駄だけでは済みません。
審査先と仕事上の関わりが無いこと、当該分野の審査能力が十分なことのみを簡潔に伝えることです。
時間を無駄にする審査員の審査は遠慮したい。
よろしくね。
PS 同じ意味で審査員がスモーカーも困ります。彼ら又は彼女らのタバコ休憩に付き合いたくありません。時間は無駄だし会社も汚れる。第一、側に寄られると臭い。
適用範囲は、対象と非対象を分けること。非対象とする場合はその理由を明確にすること。
2006年01月26日
UKASはISO化を急ぐ必要があるだろうか。
BS7799規格の終了を急ぎ必要はあるだろうか。
一人もこぼさず7799から27001へ移したいのが、認証制度に関わるビジネスを行っているところの本音でしょう。脅しはしても右往左往する集団の真ん中に拳を打ち下ろすことはしない。自分の首を絞めることと同じだから。
結局、世の中が動かなければ、2006年4月の意味は変わってきます。BS7799の取得者の大半が日本にあって、そこはJISのタイミングで動くとなると、ある意味では権威失墜にもなりかねません。UKASの優柔不断に見える態度の要因です。
UKASからのリリースレターはどのような内容でしょうか。
http://www.ukas.com/
BS7799規格の終了を急ぎ必要はあるだろうか。
一人もこぼさず7799から27001へ移したいのが、認証制度に関わるビジネスを行っているところの本音でしょう。脅しはしても右往左往する集団の真ん中に拳を打ち下ろすことはしない。自分の首を絞めることと同じだから。
結局、世の中が動かなければ、2006年4月の意味は変わってきます。BS7799の取得者の大半が日本にあって、そこはJISのタイミングで動くとなると、ある意味では権威失墜にもなりかねません。UKASの優柔不断に見える態度の要因です。
UKASからのリリースレターはどのような内容でしょうか。
http://www.ukas.com/
2006年01月08日
翻訳規格。
従って完全に受身。存在価値は翻訳の正当性を主張する以外にはありません。単なる事務処理です。これで半年という時間を使う訳です。
翻訳だけなら既に対訳本が出ていますから、JISというマークが付くだけなんでしょうか。
そのことと経営者の情報セキュリティへの取り組みとどういう関係が有るでしょうか。経営に必要なら翻訳の有無に関わらずあなたは取り組むでしょう。
継続的改善が必要だから続けるのでしょう。継続的停滞が必要なら何もしないことですね。7799を放棄して、あるいはISO27001を選択しないで、「JIS Q 27001」を待つなら、あなたは停滞願望派ということの証明です。
従って完全に受身。存在価値は翻訳の正当性を主張する以外にはありません。単なる事務処理です。これで半年という時間を使う訳です。
翻訳だけなら既に対訳本が出ていますから、JISというマークが付くだけなんでしょうか。
そのことと経営者の情報セキュリティへの取り組みとどういう関係が有るでしょうか。経営に必要なら翻訳の有無に関わらずあなたは取り組むでしょう。
継続的改善が必要だから続けるのでしょう。継続的停滞が必要なら何もしないことですね。7799を放棄して、あるいはISO27001を選択しないで、「JIS Q 27001」を待つなら、あなたは停滞願望派ということの証明です。
BS7799対ISO27001。もしくは、ISO27001対JIS Q 27001。
新しい27001規格は従来の7799規格と比べて何処がどのように変わっているかは既に整理された情報が出されている。その内、旧規格との違いを問題にする人は居なくなる。
BS7799規格自身も2002年バージョンに切り替わる時はせっせと比較検討していましたが、その内、知識をひけらかす以外の意図では誰も口にしなくなりました。
さて、
ここでは新規格の意味について考えます。
新規格は旧規格に手を加えられて出来ています。改善を行っているということです。単に読みやすくしたのではなく、情報セキュリティを維持するためにマネジメントに対して要求する事項ははるかに厳しくなっています。
どこかの審査機関、どこかの審査員は「新規格の中身は従来と基本的には同じです」と強弁しているようです。強弁が通るなら規格を変える必要はありません。制度の形骸化、あるいは審査ビジネス利益のことだけを考えているのでしょう。
問題は経営者の態度です。
真剣に情報セキュリティを維持したいならISO27001規格へ1日も早く移行すべきです。甘い規格(現行のJIPDEC規格)に甘んずる気持ちなら、最長でなんと2007年の10月(9月?)まで現行のままで行けるのです。こういう選択をする人は、マネジメントの中身(実質)を求めたのでなく、単にあの認証マークが欲しかったと言うことが分かります。恥ずかしい経営者です。事件事故の類が発生した時には誰の目にも当然視されるでしょう。
経営変革は事業再編、組織再編を伴うことが多いようですが、自在に経営変革を進めるには、いつでもシステム変更に対する審査を受ける準備をしておく必要があります。
従って、
既に、BS7799認証を受けている経営者は、2006年3月エンドまで新規格移行の準備を完了させなければいけません。経営が社会から批判を受けることの無いミニマムの努力水準です。
続きを読む ...
新しい27001規格は従来の7799規格と比べて何処がどのように変わっているかは既に整理された情報が出されている。その内、旧規格との違いを問題にする人は居なくなる。
BS7799規格自身も2002年バージョンに切り替わる時はせっせと比較検討していましたが、その内、知識をひけらかす以外の意図では誰も口にしなくなりました。
さて、
ここでは新規格の意味について考えます。
新規格は旧規格に手を加えられて出来ています。改善を行っているということです。単に読みやすくしたのではなく、情報セキュリティを維持するためにマネジメントに対して要求する事項ははるかに厳しくなっています。
どこかの審査機関、どこかの審査員は「新規格の中身は従来と基本的には同じです」と強弁しているようです。強弁が通るなら規格を変える必要はありません。制度の形骸化、あるいは審査ビジネス利益のことだけを考えているのでしょう。
問題は経営者の態度です。
真剣に情報セキュリティを維持したいならISO27001規格へ1日も早く移行すべきです。甘い規格(現行のJIPDEC規格)に甘んずる気持ちなら、最長でなんと2007年の10月(9月?)まで現行のままで行けるのです。こういう選択をする人は、マネジメントの中身(実質)を求めたのでなく、単にあの認証マークが欲しかったと言うことが分かります。恥ずかしい経営者です。事件事故の類が発生した時には誰の目にも当然視されるでしょう。
経営変革は事業再編、組織再編を伴うことが多いようですが、自在に経営変革を進めるには、いつでもシステム変更に対する審査を受ける準備をしておく必要があります。
従って、
既に、BS7799認証を受けている経営者は、2006年3月エンドまで新規格移行の準備を完了させなければいけません。経営が社会から批判を受けることの無いミニマムの努力水準です。
続きを読む ...
2005年12月28日
27001への移行時期は、運の良い人(組織)は2007年3月になり、運の悪い人は2006年4月になります。
もちろん、望む人(組織)は今でも移行できます。現に移行を済ませたところもあります。
さて、自分のところの移行時期が2007年の3月だからゆっくり考えているところがありますが、これはある意味では大きな間違いです。先に書いたように、2006年4月以降は27001でしか審査は受けることが出来ません。
事件・事故が発生して臨時審査を受けることになった場合も、組織変更など適用範囲の変更を行って変更審査を受けることになった場合も、審査の規格は27001です。
発想を変えれば、何が発生しても大丈夫な様に、あるいはビジネス上の要求を妨げることが無い様に、ISMS事務局としては、2006年4月までに準備を終えることが必要です。
続きを読む ...
もちろん、望む人(組織)は今でも移行できます。現に移行を済ませたところもあります。
さて、自分のところの移行時期が2007年の3月だからゆっくり考えているところがありますが、これはある意味では大きな間違いです。先に書いたように、2006年4月以降は27001でしか審査は受けることが出来ません。
事件・事故が発生して臨時審査を受けることになった場合も、組織変更など適用範囲の変更を行って変更審査を受けることになった場合も、審査の規格は27001です。
発想を変えれば、何が発生しても大丈夫な様に、あるいはビジネス上の要求を妨げることが無い様に、ISMS事務局としては、2006年4月までに準備を終えることが必要です。
続きを読む ...
2005年12月24日
10月14日にリリースされて10月15日から4月14日までは、BS7799で認証をとることはできます。もちろん、審査機関・審査員が準備OKなら27001で認証をとることも出来ます。
組織(企業)はこの半年間はどちらの規格で審査を受けても構いません。
問題は4月15日からの扱いです。前にも書きましたが、27001でしか審査は行いません。審査規格として7799は終わっているのです。
リリース後18ヶ月以内に移行することが必要と説明している人がいます。誤解も甚だしく、18ヶ月で移行を完了させるのは移行プログラム全体の話です。
組織は必ず1年で定期サーベイランスが来ますから遅くとも4月15日以降に訪れるサーベイランスのタイミングで27001を受けることになります。
余裕のある組織(既に移行準備が終わっている組織)は、4月15日以前に27001を受けることは構いません。
続きを読む ...
組織(企業)はこの半年間はどちらの規格で審査を受けても構いません。
問題は4月15日からの扱いです。前にも書きましたが、27001でしか審査は行いません。審査規格として7799は終わっているのです。
リリース後18ヶ月以内に移行することが必要と説明している人がいます。誤解も甚だしく、18ヶ月で移行を完了させるのは移行プログラム全体の話です。
組織は必ず1年で定期サーベイランスが来ますから遅くとも4月15日以降に訪れるサーベイランスのタイミングで27001を受けることになります。
余裕のある組織(既に移行準備が終わっている組織)は、4月15日以前に27001を受けることは構いません。
続きを読む ...
2005年11月15日
財団法人日本情報処理開発協会(JIPDEC)が、ISO27001のリリースに先立ち、ISO27001への移行ロードマップを10月11日に提示しています。ISOの流れが読めない時のロードマップであり全体として不確かな印象が残ります。
11月15日に内容を改定して、可能な範囲でその後の事実を吸収しております。
http://www.isms.jipdec.jp/ISO27001.html
11月15日に内容を改定して、可能な範囲でその後の事実を吸収しております。
http://www.isms.jipdec.jp/ISO27001.html
この記事へのコメント
2005年10月15日
情報セキュリティのマネジメントシステム標準ISO27001がリリースされました。これからISO27001の認証取得のための要点を検討します。全く初めてのISMSであっても、既にISMSの認証を受けていても、目指すところは同じです。さあ、ご一緒に。
2005年04月01日
[ 前の30件 | 次の30件 ]
