2011年08月15日
トイレチェック
いろいろな時に行われるチェックの一つ。訪問先の会社の雰囲気が伝わってくる。早めに行って、トイレを拝借する。トイレは居室の外で、複数テナントに対応できるよう一般の人の利用も出来るようになっているところが多い。
一般者が禁止の場合は、実際に挨拶を済ませてからの拝借となる。
ルーズな会社か、そうでないか。ルールを守る会社か、そうでないか。
コンサルをやるときには結構大事。形式的な構築をやっても意味が無いケースがある。メンタルの据付。なかなか難しい。
.*.
トイレをチェックするような手合いの人は周辺の状況までチェックする。勿論、その前にホームページ、ニュース、などパブリック系もチェックするものだそうです。
事業概要、業界のポジション、強み・弱み、ISMSの意味、事業貢献できるポイントなど。大変だね。
.*.
いろいろな時に行われるチェックの一つ。訪問先の会社の雰囲気が伝わってくる。早めに行って、トイレを拝借する。トイレは居室の外で、複数テナントに対応できるよう一般の人の利用も出来るようになっているところが多い。
一般者が禁止の場合は、実際に挨拶を済ませてからの拝借となる。
ルーズな会社か、そうでないか。ルールを守る会社か、そうでないか。
コンサルをやるときには結構大事。形式的な構築をやっても意味が無いケースがある。メンタルの据付。なかなか難しい。
.*.
トイレをチェックするような手合いの人は周辺の状況までチェックする。勿論、その前にホームページ、ニュース、などパブリック系もチェックするものだそうです。
事業概要、業界のポジション、強み・弱み、ISMSの意味、事業貢献できるポイントなど。大変だね。
.*.
癒着
コンサルタントが特定のクライアントに長期間に渡ってサービスを提供しても癒着とは言わない。
審査員の場合は癒着のリスクを言う。審査員の裁量による判断があるからだ。
特定の審査員が長期間、同じクライアントを担当しないのは監査とか審査とかの業界の常識。メディアでも騒がれる事件も以前あった。審査機関も同様の注意が必要だけど、必ずしも徹底していないようだ。
理由は、クライアント側がその審査員を指定してくるからだとか。であれば、尚更のこと、問題だが、無頓着らしい。そういう審査は、本来は無効としても良いのかも知れない。
初回・継続・継続で一人。更新・継続・継続で別の一人。同じ人が4回以上連続したり、連続する6回の中で、4回以上担当したりしたら、それは癒着と看做すとか。李下に冠を正さず。
コンサルタントが特定のクライアントに長期間に渡ってサービスを提供しても癒着とは言わない。
審査員の場合は癒着のリスクを言う。審査員の裁量による判断があるからだ。
特定の審査員が長期間、同じクライアントを担当しないのは監査とか審査とかの業界の常識。メディアでも騒がれる事件も以前あった。審査機関も同様の注意が必要だけど、必ずしも徹底していないようだ。
理由は、クライアント側がその審査員を指定してくるからだとか。であれば、尚更のこと、問題だが、無頓着らしい。そういう審査は、本来は無効としても良いのかも知れない。
初回・継続・継続で一人。更新・継続・継続で別の一人。同じ人が4回以上連続したり、連続する6回の中で、4回以上担当したりしたら、それは癒着と看做すとか。李下に冠を正さず。
2011年08月14日
力量の定義
「力量」とは、・・・・・能力。期待役割を遂行する能力。
.*.
「力量の明確化」とは、・・・・・期待役割の明確化、及び期待役割遂行に必要な人的要件の明確化。
.*.
「力量を判断する物差し」とは、・・・・・チェックリスト/チェックシート。予見ベース、実績ベース。
ISMS一般教育受講(社外専門組織、社内講習)(回数、日数、年数)
ISMS内部監査コース受講(社外専門組織、社内講習)
ISMS審査員コース受講(社外専門組織)
内部監査員実績(回数、日数、年数)
内部監査責任者実績(回数、日数、年数)
ISMS事務局実績
ISMS管理責任者実績
部門ISMS推進員実績
部門IT管理実績(部門PC,部門サーバー管理)
全社IT管理実績
IT関連業務実績(IT関連の開発・サポート技術)(分野・年数)
過失など自己責任のインシデント経験
5S(クリアデスク等)実施程度
リスクアセスメント経験(資産台帳、資産価値評価、脅威脆弱性評価、リスク値評価)
誓約書(署名)
入門コース(提要範囲への受け入れ時教育)
教育実施経験(対象、回数、日数、年数、テキスト開発)
事業継続計画の策定、訓練管理の経験(回数)
リスク対応計画の策定、実施の経験(件数)
ISMS関連規定の新規策定・改定の経験
ISMS関連改善提案(件数)
マネジャー職経験(年数)
その他
だらだらと書き並べた。設定する役割と求める経験の程度を決めてチェックリストを作ります。
.*.
「力量」とは、・・・・・能力。期待役割を遂行する能力。
.*.
「力量の明確化」とは、・・・・・期待役割の明確化、及び期待役割遂行に必要な人的要件の明確化。
.*.
「力量を判断する物差し」とは、・・・・・チェックリスト/チェックシート。予見ベース、実績ベース。
ISMS一般教育受講(社外専門組織、社内講習)(回数、日数、年数)
ISMS内部監査コース受講(社外専門組織、社内講習)
ISMS審査員コース受講(社外専門組織)
内部監査員実績(回数、日数、年数)
内部監査責任者実績(回数、日数、年数)
ISMS事務局実績
ISMS管理責任者実績
部門ISMS推進員実績
部門IT管理実績(部門PC,部門サーバー管理)
全社IT管理実績
IT関連業務実績(IT関連の開発・サポート技術)(分野・年数)
過失など自己責任のインシデント経験
5S(クリアデスク等)実施程度
リスクアセスメント経験(資産台帳、資産価値評価、脅威脆弱性評価、リスク値評価)
誓約書(署名)
入門コース(提要範囲への受け入れ時教育)
教育実施経験(対象、回数、日数、年数、テキスト開発)
事業継続計画の策定、訓練管理の経験(回数)
リスク対応計画の策定、実施の経験(件数)
ISMS関連規定の新規策定・改定の経験
ISMS関連改善提案(件数)
マネジャー職経験(年数)
その他
だらだらと書き並べた。設定する役割と求める経験の程度を決めてチェックリストを作ります。
.*.
結果指標を使っての目標管理は出来ない!
どういうことですか。目標管理とは「目標を管理する」のか、「目標を使って管理する」のか。こういうと微妙ですね。目標管理型の経営ってよく聞きます。どちらもイエスですね。達成目標を示し、共有価値として理解を広め、全員で達成を目指す。なんてところですか。
工場見学に行くと災害ゼロ400日とかやってます。単に災害ゼロとやって、今は何日目かを表示しているところもあれば、目標として何日かをあげているところもあります。で、これらは目標管理でしょうか。という話です。
なんかよく分からんね。強いて言えば、引き算の管理でなく、足し算の管理を目指せ!というkとらしい。自分の努力をどのように積み上げたら目的は達成するのか。そういう発想です。なにもしないで居れば災害は出ないですみます。災害ゼロの結果を得るには何を達成すべきかを目標として示すことが経営者は求められるのです。なんちゃって。
結果指標をスローガンとして示すこと自体は構わないが、それだけでは駄目で、実現のための(プラス型の)目標を示すことが必要。紺屋の白袴。多いですね。
.*.
理屈は理屈。実際に達成目標を示すのは難しい。コンサルもこの領域は入ろうとしない。顔を突っ込んでもろくなことが無い。自分が解法を示せるわけでもなく、建前だけ示したところで、一つ間違えば経営者から疎まれるだけだ。
.*.
「業界ナンバーワンを目指す!」ってよく聞くね。しかもそれだけで後が続いてこない。一瞬、目が点になる。売り上げナンバーワン、シェアナンバーワン、顧客満足度ナンバーワン、などなどいくらでもあるし、戦略的な展開が無ければ、具体的な達成目標が設定できない。
.*.
ISMS基本方針とかIS基本方針とか、ISMS有効性評価に関する取り組みを見ると、これでこの組織は回るのかなと思わせるものに遭遇することがあるそうだ。
自分の会社の年度方針・根の目標、あるいは、自分の属するISMSの方針や有効性評価手順などを改めて見てみると、出来具合がわかって面白い。筈です。もっとも、方針展開をしっかりやる癖が付いた組織では、途中で価値連鎖が上手くないこと分かれば、適宜見直されるので、そう心配したものでもない。
.*.
どういうことですか。目標管理とは「目標を管理する」のか、「目標を使って管理する」のか。こういうと微妙ですね。目標管理型の経営ってよく聞きます。どちらもイエスですね。達成目標を示し、共有価値として理解を広め、全員で達成を目指す。なんてところですか。
工場見学に行くと災害ゼロ400日とかやってます。単に災害ゼロとやって、今は何日目かを表示しているところもあれば、目標として何日かをあげているところもあります。で、これらは目標管理でしょうか。という話です。
なんかよく分からんね。強いて言えば、引き算の管理でなく、足し算の管理を目指せ!というkとらしい。自分の努力をどのように積み上げたら目的は達成するのか。そういう発想です。なにもしないで居れば災害は出ないですみます。災害ゼロの結果を得るには何を達成すべきかを目標として示すことが経営者は求められるのです。なんちゃって。
結果指標をスローガンとして示すこと自体は構わないが、それだけでは駄目で、実現のための(プラス型の)目標を示すことが必要。紺屋の白袴。多いですね。
.*.
理屈は理屈。実際に達成目標を示すのは難しい。コンサルもこの領域は入ろうとしない。顔を突っ込んでもろくなことが無い。自分が解法を示せるわけでもなく、建前だけ示したところで、一つ間違えば経営者から疎まれるだけだ。
.*.
「業界ナンバーワンを目指す!」ってよく聞くね。しかもそれだけで後が続いてこない。一瞬、目が点になる。売り上げナンバーワン、シェアナンバーワン、顧客満足度ナンバーワン、などなどいくらでもあるし、戦略的な展開が無ければ、具体的な達成目標が設定できない。
.*.
ISMS基本方針とかIS基本方針とか、ISMS有効性評価に関する取り組みを見ると、これでこの組織は回るのかなと思わせるものに遭遇することがあるそうだ。
自分の会社の年度方針・根の目標、あるいは、自分の属するISMSの方針や有効性評価手順などを改めて見てみると、出来具合がわかって面白い。筈です。もっとも、方針展開をしっかりやる癖が付いた組織では、途中で価値連鎖が上手くないこと分かれば、適宜見直されるので、そう心配したものでもない。
.*.
助言屋が必要|助言屋は必要|助言屋も必要
コンサルは今ひとつ信用できなくなった。審査員も形式的だったり迎合的だったりで審査の有効性にも疑問が残る。
過去とか将来にとらわれず、すっきりした助言。包み隠すもののない純粋な意見が欲しい。コンサルも審査員も既に第3者の立場を失っている。真に第3者の視点からの助言が必要だ。明日へ踏み出すためにも。
コンサルの人も審査員の人も、結構多くの人は助言でも貢献したいという。ボランティアで構わない。捻じ曲がったシステムを見ると業界に生きるものとして申し訳ない気持ちになるらしい。
ただ残念なことに、裸の王さま(?)とボランティアとの接点が何処にも無い。
コンサルは今ひとつ信用できなくなった。審査員も形式的だったり迎合的だったりで審査の有効性にも疑問が残る。
過去とか将来にとらわれず、すっきりした助言。包み隠すもののない純粋な意見が欲しい。コンサルも審査員も既に第3者の立場を失っている。真に第3者の視点からの助言が必要だ。明日へ踏み出すためにも。
コンサルの人も審査員の人も、結構多くの人は助言でも貢献したいという。ボランティアで構わない。捻じ曲がったシステムを見ると業界に生きるものとして申し訳ない気持ちになるらしい。
ただ残念なことに、裸の王さま(?)とボランティアとの接点が何処にも無い。
オフィスが引っ越して黙っていたらどうなるか?
普通は特別審査、臨時審査、移転審査の対象になる。引越しして既に8ヶ月も経過している。次の審査で出かけたら、オフィスが無い。引っ越したとか。まあ、冗談ですが。兎に角、分かったときは、既に何ヶ月も経過していた。臨時審査の前に定期審査のタイミングが来てしまった。どういうこと?
コンサルとしては、何も言ってこなければ放っておくかと。重要な変更は通知を契約に書かれていると契約違反。コンプライアンス違反で不適合か。
当然だろう。大きな変化があって、認証の前提が崩れているのに取得事業者として振舞っていたら一種の詐欺行為。看過している審査機関も指導されるだろう。不適合も出していなかったらアホだね。ということです。
.*.
引越し自身は、あまり問題にされないので、コンサルとしては楽らしい。あのイベントをどういうカテゴリーで管理するか。まあ、普通は事業継続管理の一環でしょうな。
計画。実績、レビューを求められることは先ず無い。抜かっているね。
普通は特別審査、臨時審査、移転審査の対象になる。引越しして既に8ヶ月も経過している。次の審査で出かけたら、オフィスが無い。引っ越したとか。まあ、冗談ですが。兎に角、分かったときは、既に何ヶ月も経過していた。臨時審査の前に定期審査のタイミングが来てしまった。どういうこと?
コンサルとしては、何も言ってこなければ放っておくかと。重要な変更は通知を契約に書かれていると契約違反。コンプライアンス違反で不適合か。
当然だろう。大きな変化があって、認証の前提が崩れているのに取得事業者として振舞っていたら一種の詐欺行為。看過している審査機関も指導されるだろう。不適合も出していなかったらアホだね。ということです。
.*.
引越し自身は、あまり問題にされないので、コンサルとしては楽らしい。あのイベントをどういうカテゴリーで管理するか。まあ、普通は事業継続管理の一環でしょうな。
計画。実績、レビューを求められることは先ず無い。抜かっているね。
ISMS審査実績の多い5つの審査機関の今年8月5日現在のデータを眺めて
実績全体に対する今年の割合を%で見ると、全体では3857件に対して、今年は219件。比率は5.7%。リーマンショック、東日本震災の影響で全体では伸び悩んでいると思われる。即ち、5.7%は低い数字と理解して良い。
◆年度 件数 全体比率
2011年 219件 5.7% ただし7ヶ月。
2010年 505件 13.1%
2009年 525件 13.6%
2008年 549件 14.2%
2007年 499件 12.9%
2006年 539件 14.0%
◆審査機関 全体 今年 %
bsi 1286 49 3.8%
jqa 966 65 6.7%
jaco 223 8 3.6%
jicqa 221 13 5.9%
juce 201 15 7.5%
今年の状況でさらに興味深いのは、実績NO.1とNO.3の失速振りが際立つこと。実績NO.2とNO.5の伸びが目覚しいこと。1位2位の逆転、また3位グループの逆転、これは今の勢いなら確実だろう。
失速中のBSIとJACOには、どのような戦略上のミスがあっただろうか。
◆JACO
JACOについては、昔はJACO-ISと別会社だったがJACOの中に一本化された。JACO-ISとしての単独の事業採算性が成立しないからだが、もともと別働で走ること自体が戦略ミス。もう一つは電機メーカーなど体力のある企業を中心にヘビーな審査を続けてきたことで、世間に幅広く受け入れられる審査スキームから乖離してしまったこと。今後は環境ISOのカスタマーベースの活用が出来るか否かに掛かるが、審査スキームの見直しが出来なければ宝の持ち腐れになるだろう。とのこと。
◆BSI
突出した実績に対してJAB・JIPDECから目の敵にされていたとしても、この失速振りは何らかの戦略ミスだろう。例えば、統合審査。足は遅くなるし、両刃の刃。気が付いたら相手の土俵で悪戦苦闘とか。最大の問題はISMSの特異性が希薄なものになってしまったこと。本当のことは、ここの誰も知らない。世間も知恵が付いてきたのかもしれない。
◆JQA
一方、JQAは何故成功を収めているのだろう。もともと巨大なカスタマーベースを持っている。統合審査が成立するなら、一番メリットを受けるのはJQAだった。BSIが露払いしてくれたのだ、やりやすかったのではないか。また、IT環境を利用した文書審査の工夫も今後はさらに威力を増すと予感される。
.*.
データは中途キャンセルとか非公開とか考慮していない。JIPDECの検索システムから単純に拾ったもの。
実績全体に対する今年の割合を%で見ると、全体では3857件に対して、今年は219件。比率は5.7%。リーマンショック、東日本震災の影響で全体では伸び悩んでいると思われる。即ち、5.7%は低い数字と理解して良い。
◆年度 件数 全体比率
2011年 219件 5.7% ただし7ヶ月。
2010年 505件 13.1%
2009年 525件 13.6%
2008年 549件 14.2%
2007年 499件 12.9%
2006年 539件 14.0%
◆審査機関 全体 今年 %
bsi 1286 49 3.8%
jqa 966 65 6.7%
jaco 223 8 3.6%
jicqa 221 13 5.9%
juce 201 15 7.5%
今年の状況でさらに興味深いのは、実績NO.1とNO.3の失速振りが際立つこと。実績NO.2とNO.5の伸びが目覚しいこと。1位2位の逆転、また3位グループの逆転、これは今の勢いなら確実だろう。
失速中のBSIとJACOには、どのような戦略上のミスがあっただろうか。
◆JACO
JACOについては、昔はJACO-ISと別会社だったがJACOの中に一本化された。JACO-ISとしての単独の事業採算性が成立しないからだが、もともと別働で走ること自体が戦略ミス。もう一つは電機メーカーなど体力のある企業を中心にヘビーな審査を続けてきたことで、世間に幅広く受け入れられる審査スキームから乖離してしまったこと。今後は環境ISOのカスタマーベースの活用が出来るか否かに掛かるが、審査スキームの見直しが出来なければ宝の持ち腐れになるだろう。とのこと。
◆BSI
突出した実績に対してJAB・JIPDECから目の敵にされていたとしても、この失速振りは何らかの戦略ミスだろう。例えば、統合審査。足は遅くなるし、両刃の刃。気が付いたら相手の土俵で悪戦苦闘とか。最大の問題はISMSの特異性が希薄なものになってしまったこと。本当のことは、ここの誰も知らない。世間も知恵が付いてきたのかもしれない。
◆JQA
一方、JQAは何故成功を収めているのだろう。もともと巨大なカスタマーベースを持っている。統合審査が成立するなら、一番メリットを受けるのはJQAだった。BSIが露払いしてくれたのだ、やりやすかったのではないか。また、IT環境を利用した文書審査の工夫も今後はさらに威力を増すと予感される。
.*.
データは中途キャンセルとか非公開とか考慮していない。JIPDECの検索システムから単純に拾ったもの。
- N1=√X
- N2=√X*0.6
- N3=√X*0.6
- N4=√Xまたは√X*0.8
- N5=√X*0.6
- N6=√X*0.6
- N7=√Xまたは√X*0.8
なんじゃこれ?もっと何とかはっきり言わんかい?我(われ)!
サンプリングの対象となる例
.*.
各県主要都市に展開するもの.。
大型のショッピングセンターに展開するもの。
地域資本と提携して広域展開するもの。
広域サービスを展開するもの。
.*.
支店、営業所、販売店、サービスセンター、パーツセンター、遊行施設、飲食店、相談室、公共系サービス。
まあ、どこへ行っても見かける普通の店・施設
<注意事項>
毎回同じところがサンプルになってはいけない。全体を網羅する方向。
新たに開設したサイトは優先する。
クレームの出たサイト、事件事故のあったサイトはサンプリングと別枠で審査する。
内部監査で指摘の多いサイトも優先する。(文書審査をやらない出たとこ勝負では難しい)
規模が大きいところも優先する。その他ユニークな特性をもつサイトも優先する。
.*.
.*.
各県主要都市に展開するもの.。
大型のショッピングセンターに展開するもの。
地域資本と提携して広域展開するもの。
広域サービスを展開するもの。
.*.
支店、営業所、販売店、サービスセンター、パーツセンター、遊行施設、飲食店、相談室、公共系サービス。
まあ、どこへ行っても見かける普通の店・施設
<注意事項>
毎回同じところがサンプルになってはいけない。全体を網羅する方向。
新たに開設したサイトは優先する。
クレームの出たサイト、事件事故のあったサイトはサンプリングと別枠で審査する。
内部監査で指摘の多いサイトも優先する。(文書審査をやらない出たとこ勝負では難しい)
規模が大きいところも優先する。その他ユニークな特性をもつサイトも優先する。
.*.
2011年08月13日
電子錠(カードキー)による入退室管理でログ解析はどうするのか?
電子錠を使うクライアントは電子錠を使っていると言うことだけでセキュリティは問題ないとやっている。どうしてでしょうか。クレジットカードだって昔はスキミングされるリスクがある。ICカードではスキミングは出来ないとしても、不正利用が無いとは言い切れない。
多くはトレーサビリティが確保できているだけで十分としている。トレーサビリティの管理策は所詮「後の祭り」であることも理解しなければいけない。
ログデータはしっかり確保されているのだろうか。ログデータを管理するルールすらない。場合によってはビル管理会社がデータを持っているだけで管理状況までは把握していない場合もある。管理記録にするなら正しく入手しておくことが必要だ。
.*.
さて、本題はそのログデータから何を解析するかです。
サーバールームなら、作業記録とログデータの整合性〜ギャップ
室内の滞在時間の長さ
頻度と時期の相関(どの部屋へ何回入ったか、何時間滞在したか)
時間帯の正常・異常(深夜、休日、昼休み)
ログデータは統計的に処理することで意味を持つものも少なく有りません。統計的に見ないただの出力データにしておくことは宝の持ち腐れと同じです。
.*.
退職が決まった人、契約終了が予定されている派遣または業務委託の従業員については、事前または事後の適当な時期にログのチェック(行動の異常性の有無)を行うことは有効であるかもしれません。この場合は、サーバー等へのアクセスログについても同様に行うべきです。
.*.
電子錠を使うクライアントは電子錠を使っていると言うことだけでセキュリティは問題ないとやっている。どうしてでしょうか。クレジットカードだって昔はスキミングされるリスクがある。ICカードではスキミングは出来ないとしても、不正利用が無いとは言い切れない。
多くはトレーサビリティが確保できているだけで十分としている。トレーサビリティの管理策は所詮「後の祭り」であることも理解しなければいけない。
ログデータはしっかり確保されているのだろうか。ログデータを管理するルールすらない。場合によってはビル管理会社がデータを持っているだけで管理状況までは把握していない場合もある。管理記録にするなら正しく入手しておくことが必要だ。
.*.
さて、本題はそのログデータから何を解析するかです。
サーバールームなら、作業記録とログデータの整合性〜ギャップ
室内の滞在時間の長さ
頻度と時期の相関(どの部屋へ何回入ったか、何時間滞在したか)
時間帯の正常・異常(深夜、休日、昼休み)
ログデータは統計的に処理することで意味を持つものも少なく有りません。統計的に見ないただの出力データにしておくことは宝の持ち腐れと同じです。
.*.
退職が決まった人、契約終了が予定されている派遣または業務委託の従業員については、事前または事後の適当な時期にログのチェック(行動の異常性の有無)を行うことは有効であるかもしれません。この場合は、サーバー等へのアクセスログについても同様に行うべきです。
.*.
見ていて嫌になる恫喝型・脅迫型の審査
「新たに設けた何処そこの部署は適用範囲から外します。それが嫌なら不適合だしますよ」。いきなりそんなことを言われて、事務局は黙ってしまった。社長は新部門と言っても旧部門から何名かずつ取り込んで作っただけなのに、と食い下がっていた。
守るも攻めるも凡ミスだね。
部門を再編して、新たな部門で文書記録が整っていなくても問題になるわけは無い。ISMSの存在が事業対応の阻害要因になる分けない。旧組織で1年放置なら(正しくは所定の期間を超えて放置なら)、それは問題でしょうが。
社長は不適合が怖くて、適用範囲を狭めるなんて本末転倒をやっている。大事なのは組織全体で取り組んでいること。不適合は是正するだけの話で問題にも何にもならない。だから、どうぞ不適合を出してくださいで済んだのに。
.*.
この話、何となくありそうですが、架空の話です。ことは単純ではなく、複合脱線ですと、本当の問題に至れない。
閉ざされた世界でもあります。難癖が出ないように自分を客観視できる心の目も必要ですね。
「新たに設けた何処そこの部署は適用範囲から外します。それが嫌なら不適合だしますよ」。いきなりそんなことを言われて、事務局は黙ってしまった。社長は新部門と言っても旧部門から何名かずつ取り込んで作っただけなのに、と食い下がっていた。
守るも攻めるも凡ミスだね。
部門を再編して、新たな部門で文書記録が整っていなくても問題になるわけは無い。ISMSの存在が事業対応の阻害要因になる分けない。旧組織で1年放置なら(正しくは所定の期間を超えて放置なら)、それは問題でしょうが。
社長は不適合が怖くて、適用範囲を狭めるなんて本末転倒をやっている。大事なのは組織全体で取り組んでいること。不適合は是正するだけの話で問題にも何にもならない。だから、どうぞ不適合を出してくださいで済んだのに。
.*.
この話、何となくありそうですが、架空の話です。ことは単純ではなく、複合脱線ですと、本当の問題に至れない。
閉ざされた世界でもあります。難癖が出ないように自分を客観視できる心の目も必要ですね。
見積時と審査時で人数が変わっている?
組織は動いているから変動は普通のこと。馬鹿な話だが、便宜的に引いた線を1人超えるだけでも工数が変動することになる。それで不適切審査と認定する。本当かな。
だとしたら階段状の下手な線引きにも責任がある。ある意味、認定機関の怠慢を放置して杓子定規がまかり通ることになる。プラスマイナス何%の誤差を認めるなどの考え方が示されるべきだ。
審査直前に人数の変動が分かれば再見積?」審査中にだって変動する可能性あります。リアルタイム管理なんて出来ないよ。
.*.
なんとなく気が付いた。サンプリングの結果でも、工数は変わる筈。見積段階で、サンプリングの前提を決めることになる。見積は営業行為だから、営業行為が審査に影響してくるのかな。少なくとも、単純な見積は出来なくなるわけだ。
規模の大きいサイトを審査すると工数が増えて、小さいサイトなら工数は減る。不適切な発想が紛れ込むと不味いね。平均値で工数を出すほうがよほど健全な気がする。小さいサイトだと数多く見れるし、大きいサイトは少なくなる。分かりやすい。
認定機関のものの考え方を知るには?
.*.
組織は動いているから変動は普通のこと。馬鹿な話だが、便宜的に引いた線を1人超えるだけでも工数が変動することになる。それで不適切審査と認定する。本当かな。
だとしたら階段状の下手な線引きにも責任がある。ある意味、認定機関の怠慢を放置して杓子定規がまかり通ることになる。プラスマイナス何%の誤差を認めるなどの考え方が示されるべきだ。
審査直前に人数の変動が分かれば再見積?」審査中にだって変動する可能性あります。リアルタイム管理なんて出来ないよ。
.*.
なんとなく気が付いた。サンプリングの結果でも、工数は変わる筈。見積段階で、サンプリングの前提を決めることになる。見積は営業行為だから、営業行為が審査に影響してくるのかな。少なくとも、単純な見積は出来なくなるわけだ。
規模の大きいサイトを審査すると工数が増えて、小さいサイトなら工数は減る。不適切な発想が紛れ込むと不味いね。平均値で工数を出すほうがよほど健全な気がする。小さいサイトだと数多く見れるし、大きいサイトは少なくなる。分かりやすい。
認定機関のものの考え方を知るには?
.*.
ホームページの審査
いまどきのホームページは半端じゃない。膨大な情報の集合体。容易に審査できるものではない。
記載内容と実際の審査のギャップの有無は追い続けることが出来るものではあるまい。
ただ、以下の内容は目に付くし分かりやすい。
セキュリティポリシー
内容、見直し時期
認証に関する記述
適用範囲記述の妥当性、ロゴマークの使用状況
ホームページは審査というより、事前にクライアントの事業モデル・概況を把握するのに利用されるのが一般的らしい。
時には、事業所の移転とか、顧客に対するお詫び情報とか、重要なトピックも記載されていることがある。
また良くあるのが、更新がある時期から殆どなされていないケース。中には、ホームページが利用できなくなっていたりして、異常を予感させるものもある。こうなると、審査の前に、不適合をもらうようなものだったりして。
.*.
いまどきのホームページは半端じゃない。膨大な情報の集合体。容易に審査できるものではない。
記載内容と実際の審査のギャップの有無は追い続けることが出来るものではあるまい。
ただ、以下の内容は目に付くし分かりやすい。
セキュリティポリシー
内容、見直し時期
認証に関する記述
適用範囲記述の妥当性、ロゴマークの使用状況
ホームページは審査というより、事前にクライアントの事業モデル・概況を把握するのに利用されるのが一般的らしい。
時には、事業所の移転とか、顧客に対するお詫び情報とか、重要なトピックも記載されていることがある。
また良くあるのが、更新がある時期から殆どなされていないケース。中には、ホームページが利用できなくなっていたりして、異常を予感させるものもある。こうなると、審査の前に、不適合をもらうようなものだったりして。
.*.
僻地の審査
僻地の審査は環境ISOでは少なくないが、情報セキュリティISOでは少ない。もっとも、アンテナ、中継局など、電波・通信に関連する場合は施設の保護状況を見るために出かけることが無いとは言わないが、実際に、計画に組み込むことは少ないようだ。
僻地の審査の最大の障害は、1にも2にも移動工数。審査日程の消化が出来なくなる。移動時のトラブルも考慮すると尚更、二の足を踏む。だから、似たような施設で都市部に設置されたものを見て済ますことが多い。
僻地の部分は内部監査の結果を確認して済ます。
ただし、情報機器の廃棄などの場合は、環境ISOにも関連するが、情報の適切な取り扱いを確認するため、僻地でも出かけるしかない。業務上のメインプロセスが僻地においてある場合はスキップするだけの理由が成立しにくい。
僻地の審査は環境ISOでは少なくないが、情報セキュリティISOでは少ない。もっとも、アンテナ、中継局など、電波・通信に関連する場合は施設の保護状況を見るために出かけることが無いとは言わないが、実際に、計画に組み込むことは少ないようだ。
僻地の審査の最大の障害は、1にも2にも移動工数。審査日程の消化が出来なくなる。移動時のトラブルも考慮すると尚更、二の足を踏む。だから、似たような施設で都市部に設置されたものを見て済ますことが多い。
僻地の部分は内部監査の結果を確認して済ます。
ただし、情報機器の廃棄などの場合は、環境ISOにも関連するが、情報の適切な取り扱いを確認するため、僻地でも出かけるしかない。業務上のメインプロセスが僻地においてある場合はスキップするだけの理由が成立しにくい。
外部に業務委託しているものはありますか?
外部のサービスを利用するのは、何処の誰でもおやっていること。通信インフラ。物流インフラ。
委託生産、委託開発、委託調査。
清掃、廃棄、保管。
給与事務のアウトソーシングまでこの頃はある。
防災・防犯。
.*.
いずれの場合も、セキュリティリスクを洗い出して対応を取る必要がある。継続なものであれば、定期的な監査とか追加の手段も必要。
規格の管理策には、A.6.2とA.10.2が関連しそうだけど、前者は一般的で、どちらかと言えば、当初の契約上の押さえ込みが中心、後者はサービスが継続する場合の監視管理などフォロー策が中心。
外部のサービスを利用するのは、何処の誰でもおやっていること。通信インフラ。物流インフラ。
委託生産、委託開発、委託調査。
清掃、廃棄、保管。
給与事務のアウトソーシングまでこの頃はある。
防災・防犯。
.*.
いずれの場合も、セキュリティリスクを洗い出して対応を取る必要がある。継続なものであれば、定期的な監査とか追加の手段も必要。
規格の管理策には、A.6.2とA.10.2が関連しそうだけど、前者は一般的で、どちらかと言えば、当初の契約上の押さえ込みが中心、後者はサービスが継続する場合の監視管理などフォロー策が中心。
審査工数は難解至極!工数計算シートありませんか?
工数の話は、あちこちから聞くこともあるだろうが、何度聞いてもよく分からない。
サイトの人数が決まれば、必要な工数が決まる。必要な工数は、設計業務の有無で変わる。まあ、設計とは1つの例でリスクが大きい業務と捕らえればいいのだろう。
サイトが1つなら、適用範囲人数vs.工数の表のまま。
サイトが複数なら、サイトの特性が同じものがあればグルーピングして、サンプリング〜圧縮処理(ルート処理?)でサイト数を決める。特性が違うものは圧縮できない。結局、全体の必要なサイト数がきまる。
で、次に具体的に、どのサイトを訪問するかを決める。
個々のサイトの人数に対する必要審査工数を、対応表からだす。この場合、仕組みの審査は本社・本部を含む審査で済ませているので、その他のサイトはその分減らしていい。どの程度かな。表にかいてあるか、一律何%か、リスクの高さで変わるのか。まあ、いずれにしても工数は削減される。
もうひとつ面倒なのは、初回、継続、更新など審査の種類でも変化させる。初回が一番多くなっていて、継続、更新では少し減らすようだ。これが、例の3分の1とか3分の2とか言っている奴かな?。
なんか分かりやすい計算シートを作ってくれないかな
工数の話は、あちこちから聞くこともあるだろうが、何度聞いてもよく分からない。
サイトの人数が決まれば、必要な工数が決まる。必要な工数は、設計業務の有無で変わる。まあ、設計とは1つの例でリスクが大きい業務と捕らえればいいのだろう。
サイトが1つなら、適用範囲人数vs.工数の表のまま。
サイトが複数なら、サイトの特性が同じものがあればグルーピングして、サンプリング〜圧縮処理(ルート処理?)でサイト数を決める。特性が違うものは圧縮できない。結局、全体の必要なサイト数がきまる。
で、次に具体的に、どのサイトを訪問するかを決める。
個々のサイトの人数に対する必要審査工数を、対応表からだす。この場合、仕組みの審査は本社・本部を含む審査で済ませているので、その他のサイトはその分減らしていい。どの程度かな。表にかいてあるか、一律何%か、リスクの高さで変わるのか。まあ、いずれにしても工数は削減される。
もうひとつ面倒なのは、初回、継続、更新など審査の種類でも変化させる。初回が一番多くなっていて、継続、更新では少し減らすようだ。これが、例の3分の1とか3分の2とか言っている奴かな?。
なんか分かりやすい計算シートを作ってくれないかな
認証書に記載する適用範囲の書き方?
この認証が及ぶ範囲を特定するのが適用範囲。実態とぴったり合っているのが望ましいが、組織も生きている動的な存在だから、ぴったりとは行かない。
誰が書くんだろう?
この範囲で認証取得したいと経営者が企てるのだから、始めに適用範囲ありきだね。多分。審査員はどちらかといえば承認する役割になる。
どのように書くんだろう?
会社定款はこれから実施することも記載するが、認証は実績に対して発行するので、定款を持ってきても駄目だ。組織と事業の実態が必要。ミッションより実績が本来なんだろうね。
.*.
この適用範囲が、聞けば、結構いい加減に記載されていることもあるらしい。将来を先取りして汎用的な記載に走る例もあるとか。先取りは基本NGです。巧みにすり抜けたら大層な適用範囲の表現になるが実態が寂しい。針小棒大型?。世間に公開するものだから大袈裟な表現になるもしようがないかな。程度問題ですね。
.*.
ところで、規格書の始めのところ(4.2.1)でも適用範囲について要件を記載している。組織、ロケーション、事業、技術、法規制のセキュリティの側面を踏まえて適用範囲は明確にされるべきみたいだが、それらが網羅された内容の認証書って存在するのかな。
.*.
認証を取得した会社の人に聞くと、事業者名(会社名)、組織名(適用範囲部門名)、事業または業務内容、住所(所謂サイト)あたりが記載されている。どういう関連か分からないが、適用宣言書の特定もしているようだ。
要するに、「どの場所の、どの部門の、どの業務」が適用範囲に相当するらしい。これらを「どの会社の」で括ると業務内容は、各部門の業務を集約した内容になる。
会社全体の業務に含まれるものが、部門に展開したら消えてしまうなどは多分駄目でしょう。一致していないと拙いらしい。スコープ表現の妥当性を検証することも出来るわけですね。
提供宣言書も理屈上は全社サマリー版と部門・サイト・業務別の個別版が本当は存在するんだろうね。例は少ないようだが、実際に全社版・部門版の適用宣言書、要するに適用管理策一覧を用意しているところもあるようです。管理策の整合性を点検できる訳ですね。
.*.
適用範囲定義書
そういう文書があるとすると、規格の4.2.1に相当する部分を記載することになるだろうが、認証書の適用範囲を冒頭に記載しておくのは、全体の枠組みを正しく理解するためには悪いアイデアではない。
.*.
この認証が及ぶ範囲を特定するのが適用範囲。実態とぴったり合っているのが望ましいが、組織も生きている動的な存在だから、ぴったりとは行かない。
誰が書くんだろう?
この範囲で認証取得したいと経営者が企てるのだから、始めに適用範囲ありきだね。多分。審査員はどちらかといえば承認する役割になる。
どのように書くんだろう?
会社定款はこれから実施することも記載するが、認証は実績に対して発行するので、定款を持ってきても駄目だ。組織と事業の実態が必要。ミッションより実績が本来なんだろうね。
.*.
この適用範囲が、聞けば、結構いい加減に記載されていることもあるらしい。将来を先取りして汎用的な記載に走る例もあるとか。先取りは基本NGです。巧みにすり抜けたら大層な適用範囲の表現になるが実態が寂しい。針小棒大型?。世間に公開するものだから大袈裟な表現になるもしようがないかな。程度問題ですね。
.*.
ところで、規格書の始めのところ(4.2.1)でも適用範囲について要件を記載している。組織、ロケーション、事業、技術、法規制のセキュリティの側面を踏まえて適用範囲は明確にされるべきみたいだが、それらが網羅された内容の認証書って存在するのかな。
.*.
認証を取得した会社の人に聞くと、事業者名(会社名)、組織名(適用範囲部門名)、事業または業務内容、住所(所謂サイト)あたりが記載されている。どういう関連か分からないが、適用宣言書の特定もしているようだ。
要するに、「どの場所の、どの部門の、どの業務」が適用範囲に相当するらしい。これらを「どの会社の」で括ると業務内容は、各部門の業務を集約した内容になる。
会社全体の業務に含まれるものが、部門に展開したら消えてしまうなどは多分駄目でしょう。一致していないと拙いらしい。スコープ表現の妥当性を検証することも出来るわけですね。
提供宣言書も理屈上は全社サマリー版と部門・サイト・業務別の個別版が本当は存在するんだろうね。例は少ないようだが、実際に全社版・部門版の適用宣言書、要するに適用管理策一覧を用意しているところもあるようです。管理策の整合性を点検できる訳ですね。
.*.
適用範囲定義書
そういう文書があるとすると、規格の4.2.1に相当する部分を記載することになるだろうが、認証書の適用範囲を冒頭に記載しておくのは、全体の枠組みを正しく理解するためには悪いアイデアではない。
.*.
「チェックリストは力量を補うか?」
力量発揮を確実にするためにチェックリストを使う。問い掛けに対してはイエス!である。でも、実態は、エビデンス(証跡)として利用することが多い。
それでは、
「力量自体はどのように測るか?」
ここでもチェックリストが登場する。関連する知識と関連する業務経験を並べてチェックリストにする。知識や考え方を書面であるいはテストで評価する。
実際の振る舞いを見て、行動様式をチェックリストにしたもので、評価する。役割ごとに作成する。
<知識>
<経験>
<行動>
企業においては、本当に優秀な人材は、何かの資格の取得に適した部署にはいない。先端の領域、最前線の戦いを余儀なくされる。大した能力のない連中が資格などの取得に有利な部署に張り付く。キャリア形成に優位rな部署・経験を積み重ねる。定年が近づけば最前線の業務から解放されるが個人的にはエキサイティングな経験をしていても、セカンドライフ的な意味合いでは何も手にしていないことになる。
チェックリストで図ることができる力量の意味を考えると、上記で言えば無能な類が選別されてしまう。結果は、無難なISMS。チャレンジしないISMS。
審査員を見ていても似たような印象をもつ。イベント・パフォーマーとしては優秀だけど、肝心の情報システム、ネットワークシステムになると殆ど知識も経験もない。ISMS審査員という門前の小僧をやっているから話はあわせてくるとが理解しているものが全く違うと馬鹿馬鹿しくなる。らしい。言葉で言いくるめるのは得意らしく、会社のシステム担当もたじたじするが言葉面、手順の話ばかり。共感のない土俵でのやり取りは返ってISMSに対して否定的な印象をもってしまう。らしい。
力量発揮を確実にするためにチェックリストを使う。問い掛けに対してはイエス!である。でも、実態は、エビデンス(証跡)として利用することが多い。
それでは、
「力量自体はどのように測るか?」
ここでもチェックリストが登場する。関連する知識と関連する業務経験を並べてチェックリストにする。知識や考え方を書面であるいはテストで評価する。
実際の振る舞いを見て、行動様式をチェックリストにしたもので、評価する。役割ごとに作成する。
<知識>
<経験>
<行動>
企業においては、本当に優秀な人材は、何かの資格の取得に適した部署にはいない。先端の領域、最前線の戦いを余儀なくされる。大した能力のない連中が資格などの取得に有利な部署に張り付く。キャリア形成に優位rな部署・経験を積み重ねる。定年が近づけば最前線の業務から解放されるが個人的にはエキサイティングな経験をしていても、セカンドライフ的な意味合いでは何も手にしていないことになる。
チェックリストで図ることができる力量の意味を考えると、上記で言えば無能な類が選別されてしまう。結果は、無難なISMS。チャレンジしないISMS。
審査員を見ていても似たような印象をもつ。イベント・パフォーマーとしては優秀だけど、肝心の情報システム、ネットワークシステムになると殆ど知識も経験もない。ISMS審査員という門前の小僧をやっているから話はあわせてくるとが理解しているものが全く違うと馬鹿馬鹿しくなる。らしい。言葉で言いくるめるのは得意らしく、会社のシステム担当もたじたじするが言葉面、手順の話ばかり。共感のない土俵でのやり取りは返ってISMSに対して否定的な印象をもってしまう。らしい。
一口に力量と言ってくれてもこんな難しいものは無い?
誰もが気にする総理大臣の力量がどんなものか分かれば世間はもっと静かになるだろうが将来に渡って期待できる話ではない。社長の力量も、管理職の力量も。
スポーツの世界は期待値と力量と物差しが同じ次元だから割と分かりやすいが、それでも女子柔道の代表選出などではすっきりしないことがあった。
入学も入社も一定の力量を求めて試験などをやっている。進級試験や昇格試験で、継続的にフォローされる。人間は、ひょっとして、禁治産者宣言を受けるまで、一生の間、力量を問われ続けるのかも。
過去の実績に基づく力量判断
手順・手続きによる力量判断
ISMSも例外なく力量の世界だ。力量という言葉を当てはめようが別の言い回しをしようが、人の行いに対しては、その人がその行いをになうことの妥当性を見る発想がでてくる。「なんでおまえがやっているの?」なんてことにならないように。
ISMS劇場に出てくる出演者は;(ここも順不同で)
ISMSの事務局
ISMS事務局の長、またはIS管理責任者
経営者、社長、CIO、CISO
内部監査員
内部監査の責任者
ISMS委員会のメンバー
部門のISMS委員、または推進委員
サーバー管理者(部門、エリア、全社別に)
パソコン管理者(部門、エリア、全社別に)
ネットワーク管理者(部門、エリア、全社別に)
防災・防犯担当(委託先であっても)
物流担当、外部倉庫担当(委託先であっても)
廃棄・処分担当(委託先であっても)
一般従業員
出入りする取引先従業員
特定部署の従業員(特定のリスクを有する部署)
社外関連者(コンサル、審査員なども)
まあ、きりがありません。仕事は大概は人がやってますから。敢えて、力量を設定し、管理していくべきものは何か。そこから始めることになるでしょう。
.*.
誰もが気にする総理大臣の力量がどんなものか分かれば世間はもっと静かになるだろうが将来に渡って期待できる話ではない。社長の力量も、管理職の力量も。
スポーツの世界は期待値と力量と物差しが同じ次元だから割と分かりやすいが、それでも女子柔道の代表選出などではすっきりしないことがあった。
入学も入社も一定の力量を求めて試験などをやっている。進級試験や昇格試験で、継続的にフォローされる。人間は、ひょっとして、禁治産者宣言を受けるまで、一生の間、力量を問われ続けるのかも。
過去の実績に基づく力量判断
手順・手続きによる力量判断
ISMSも例外なく力量の世界だ。力量という言葉を当てはめようが別の言い回しをしようが、人の行いに対しては、その人がその行いをになうことの妥当性を見る発想がでてくる。「なんでおまえがやっているの?」なんてことにならないように。
ISMS劇場に出てくる出演者は;(ここも順不同で)
ISMSの事務局
ISMS事務局の長、またはIS管理責任者
経営者、社長、CIO、CISO
内部監査員
内部監査の責任者
ISMS委員会のメンバー
部門のISMS委員、または推進委員
サーバー管理者(部門、エリア、全社別に)
パソコン管理者(部門、エリア、全社別に)
ネットワーク管理者(部門、エリア、全社別に)
防災・防犯担当(委託先であっても)
物流担当、外部倉庫担当(委託先であっても)
廃棄・処分担当(委託先であっても)
一般従業員
出入りする取引先従業員
特定部署の従業員(特定のリスクを有する部署)
社外関連者(コンサル、審査員なども)
まあ、きりがありません。仕事は大概は人がやってますから。敢えて、力量を設定し、管理していくべきものは何か。そこから始めることになるでしょう。
.*.
2011年08月12日
1つ以上のサイトがあればマルチサイト?複数サイト?
ところで、
サイトって何?正しいかどうかは兎に角として、大体こんな感じです。
解釈を拡大させることもあるようだ。
では、ここまで拡大解釈は妥当だろうか。
怪しげなロケーションまで含めて同一サイトと看做すことに熱心な人が居る。何故だろう?
一方では、
費用が安く済み、指摘も少なくて済み、それで認証が得られれば大助かりと考える人が入ればサイト数の圧縮に熱心になる。審査機関の営業の立場は、そういう意味では難しい立場と言える。
セキュリティに取り組む人は、正しくリスクを把握して適切にリスク低減を図りたいと考えるので、工数も多く取る。そうすると工数単価の安い審査機関を使うことになるのは当然でしょう。費用が安くても工数も少ない場合はあまり嬉しくないものだ。
.*.
ところで、
サイトって何?正しいかどうかは兎に角として、大体こんな感じです。
- 物理的なロケーションの一塊。
- 連続する管理スペース。
- 一つの住所に代表される範囲。
- ロケーションの管理単位。事業所。
解釈を拡大させることもあるようだ。
- 住所が変わっても連続するスペースであり1つの管理単位なら同一サイトとみなせる。
- 間が公道で仕切られていても、1つの管理単位なら同一サイト。代表住所は1つ。
- 同じビル(建物)内なら、フロアが分かれていても同一サイト。
では、ここまで拡大解釈は妥当だろうか。
- 住所も建物も敷地も違うが、歩いて5分で行けるので同一サイトとした。
- 車で15分かかるけど、常駐は誰も居ない保管倉庫なので、同一サイトとした。
怪しげなロケーションまで含めて同一サイトと看做すことに熱心な人が居る。何故だろう?
- サイト数を少なく出来るからだ。
- サイト数が少ないと、要求される審査工数も少なくなる。
- 審査工数が少なくなると、費用は小さくなる。
一方では、
- 2つを1つと看做しての審査なら、少ない工数での審査だから審査の品質は落ちる。
- 抜け漏れの多い審査になる。
費用が安く済み、指摘も少なくて済み、それで認証が得られれば大助かりと考える人が入ればサイト数の圧縮に熱心になる。審査機関の営業の立場は、そういう意味では難しい立場と言える。
セキュリティに取り組む人は、正しくリスクを把握して適切にリスク低減を図りたいと考えるので、工数も多く取る。そうすると工数単価の安い審査機関を使うことになるのは当然でしょう。費用が安くても工数も少ない場合はあまり嬉しくないものだ。
.*.
サイトサンプリング
どういうこと。さらっと言われると付いていけない。サイト全体から実際の訪問先(サイト)をいくつか選択すること。で、具体的には如何いうことかな?
3年で一通り見ると聞くが全国に何十とサイトがあれば容易でない。だからサンプリングなんでしょう。ルートを使う話も聞いた。サイトが100あっても10で済むわけだ。その10サイトを1年(1回)で見るのか、3年で見るのか。うん?一通りの話は忘れていいの?一通り見れない時の話ね。
.*.
サイト:1ヶ 毎回1つの同じ場所
サイト:2ヶ ルートすると1.4→2 毎回2つの同じ場所
サイト:3ヶ ルートすると1.7→2 毎回2つの異なる場所。途端に分からなくなる。
困ったな〜
.*.
サンプリングの前提は、サンプリングできるサイトかどうか。同じ業務プロセスで成立している複数のサイトはサンプリングしていいよという訳だ。
N1=√X
N2=√X*?
N3=√X*??
サンプリング数も初回、継続、更新で変わるんだろうね。
メンドチーノ!
.*.
仮に、継続時は初回時の50%とか60%として、あるいは3分の1として何か根拠はあるのか?
また、更新時は初回時の70%とか80%として、あるいは3分の2として何が根拠になりうるのか?
大した精度は持っていない。全て、方便の範疇。少々数字がずれていて鬼の首をとったが如くの反応は合理性を欠く。もっとも、何か決めてやら無いとことが前へ進まないのでは方便も必要ということのようだ。
.*.
なんだかんだ良く分からないけど、こんなことは審査員が心配してくれることですね。
<基本的理解として>
今回の東日本大震災で東北エリアのサイトは被災し復旧させたところもあるが、当然、セキュリティ面も回復されているかどうか確認する意味でも優先的にサンプリングの対象とならなければいけないが、実態は現地・現場にもうこれ以上の負担を掛けたくないということでスキップしているのが少なくない。らしい。
.*.
どういうこと。さらっと言われると付いていけない。サイト全体から実際の訪問先(サイト)をいくつか選択すること。で、具体的には如何いうことかな?
3年で一通り見ると聞くが全国に何十とサイトがあれば容易でない。だからサンプリングなんでしょう。ルートを使う話も聞いた。サイトが100あっても10で済むわけだ。その10サイトを1年(1回)で見るのか、3年で見るのか。うん?一通りの話は忘れていいの?一通り見れない時の話ね。
.*.
サイト:1ヶ 毎回1つの同じ場所
サイト:2ヶ ルートすると1.4→2 毎回2つの同じ場所
サイト:3ヶ ルートすると1.7→2 毎回2つの異なる場所。途端に分からなくなる。
困ったな〜
.*.
サンプリングの前提は、サンプリングできるサイトかどうか。同じ業務プロセスで成立している複数のサイトはサンプリングしていいよという訳だ。
N1=√X
N2=√X*?
N3=√X*??
サンプリング数も初回、継続、更新で変わるんだろうね。
メンドチーノ!
.*.
仮に、継続時は初回時の50%とか60%として、あるいは3分の1として何か根拠はあるのか?
また、更新時は初回時の70%とか80%として、あるいは3分の2として何が根拠になりうるのか?
大した精度は持っていない。全て、方便の範疇。少々数字がずれていて鬼の首をとったが如くの反応は合理性を欠く。もっとも、何か決めてやら無いとことが前へ進まないのでは方便も必要ということのようだ。
.*.
なんだかんだ良く分からないけど、こんなことは審査員が心配してくれることですね。
<基本的理解として>
- 初回審査の工数が最大。第1段階と第2段階。
- 次に多いのが更新審査。これは初回の第2段階に相当する。
- 次が継続審査。サーベイランスと称するもの。概ね更新の半分。
- 同一業務でサイト数が多い時はサンプリングが可能。その時はルートするらしい。
- サンプリング対象外は3年に1回は審査対象になるらしい。
- サンプリングにおいてサイトに変更があれば優先してピックアップされるらしい。
今回の東日本大震災で東北エリアのサイトは被災し復旧させたところもあるが、当然、セキュリティ面も回復されているかどうか確認する意味でも優先的にサンプリングの対象とならなければいけないが、実態は現地・現場にもうこれ以上の負担を掛けたくないということでスキップしているのが少なくない。らしい。
.*.
審査員の自炊-OCR認識率
いくら電子化しても検索性が低いと使い物にならない。検索性を確保するにはOCRの文字認識率が高いことが要件となる。検索性はOCR性能に依存することになる。当然ですね。テキストとして理解されて初めて検索も可能になる訳です。
アドビ社が開発した文書イメージにテキストを上乗せするやり方は、比較的最近の業績だが素晴らしいの一言に尽きる。文書イメージを残したまま検索性を実現したことが、今の自炊ブームの根底にあるのは言うまでも無い。アドビはアクロバットで世界を変えた貢献者だね。
Adobe Acrobatもバージョンが進んで2011年の今現在バージョン10(X)となっている。アクロバットのOCR性能も少しずつ改良を進めているようだ。
OCRも奥が深くて、各国の言語辞書、核専門領域の辞書なども持って文脈から文字の推定を行うものまであるそうだ。翻訳ソフトと似たようなロジックを持つようだ。アクロバットがどのレベルかは残念ながら把握できなかった。
Adobe Acrobat X
ところで「認識率」とは何でしょう?
コンサルの方、審査員の方に、誰彼なく聞いてみたことがあります。定義せよ!と言われると途端に顔がクエスチョンマークに変わる。試しにその関係の(OCRを売っている)どこかの営業さんに聞いてみた。説明を始めたが止まってしまった。あまりに一般的過ぎて聞く方を非難めいてみていたが、説明できない自分に唖然。
どなた様かのこの説明が一番納得できた。
元の文字列をAとする。文字数を仮に100文字としておく。認識された(正しくは単に変換された)文字列をPとする。Pは100より少ない時もあれば多い時もある。Pは正しく変換された文字と誤変換された文字の集合。Pに操作を加えてAにする。スキップした文字は書き足し(L)、誤変換は修正する。誤変換の修正は文字の入れ替えのケース(M)と削除のケース(N)がある。
PにL+M+Nを施してAとする。
OCR認識率=1-{(L+M+N)/A}のパーセント表示。
.*.
文字以外の認識についてはまだまだ発展途上のようだ。
.*.
いくら電子化しても検索性が低いと使い物にならない。検索性を確保するにはOCRの文字認識率が高いことが要件となる。検索性はOCR性能に依存することになる。当然ですね。テキストとして理解されて初めて検索も可能になる訳です。
アドビ社が開発した文書イメージにテキストを上乗せするやり方は、比較的最近の業績だが素晴らしいの一言に尽きる。文書イメージを残したまま検索性を実現したことが、今の自炊ブームの根底にあるのは言うまでも無い。アドビはアクロバットで世界を変えた貢献者だね。
Adobe Acrobatもバージョンが進んで2011年の今現在バージョン10(X)となっている。アクロバットのOCR性能も少しずつ改良を進めているようだ。
OCRも奥が深くて、各国の言語辞書、核専門領域の辞書なども持って文脈から文字の推定を行うものまであるそうだ。翻訳ソフトと似たようなロジックを持つようだ。アクロバットがどのレベルかは残念ながら把握できなかった。
Adobe Acrobat X
ところで「認識率」とは何でしょう?
コンサルの方、審査員の方に、誰彼なく聞いてみたことがあります。定義せよ!と言われると途端に顔がクエスチョンマークに変わる。試しにその関係の(OCRを売っている)どこかの営業さんに聞いてみた。説明を始めたが止まってしまった。あまりに一般的過ぎて聞く方を非難めいてみていたが、説明できない自分に唖然。
どなた様かのこの説明が一番納得できた。
元の文字列をAとする。文字数を仮に100文字としておく。認識された(正しくは単に変換された)文字列をPとする。Pは100より少ない時もあれば多い時もある。Pは正しく変換された文字と誤変換された文字の集合。Pに操作を加えてAにする。スキップした文字は書き足し(L)、誤変換は修正する。誤変換の修正は文字の入れ替えのケース(M)と削除のケース(N)がある。
PにL+M+Nを施してAとする。
OCR認識率=1-{(L+M+N)/A}のパーセント表示。
.*.
文字以外の認識についてはまだまだ発展途上のようだ。
.*.
検索システムにおける完全性
時々話題になる。全文検索システムを社内に取り込むようになって検索性はどの程度確実か。検索されることを誰が保障するのか。業務上、責任が負えるのか。社会的に説明責任が果たせるか。言い訳として通用するのか。
正しい議論かどうかさえ分からない。普通に、多くの人がインターネット上の検索システムを利用している。それが業務と言われた瞬間に、上のように考えがめぐり出す。
さて、
全文検索における完全性とは何でしょう?
検索DBに狙いとする用語が反映されないことがあるとしたら(即ち、完全性が無いとしたら)どうしますか?
やることは実はあまり変わらない。適切な代替手段を持たない限り意味の無い議論です。強いて言えば、文書のどこかに、わざわざ、検索のためのキーワードというページでも追加してもらうかな。
当然、業務特性によって、全文検索システムを利用する意味が無い場合は、最初から無視してもらえばよい。
.*.
時々話題になる。全文検索システムを社内に取り込むようになって検索性はどの程度確実か。検索されることを誰が保障するのか。業務上、責任が負えるのか。社会的に説明責任が果たせるか。言い訳として通用するのか。
正しい議論かどうかさえ分からない。普通に、多くの人がインターネット上の検索システムを利用している。それが業務と言われた瞬間に、上のように考えがめぐり出す。
さて、
全文検索における完全性とは何でしょう?
検索DBに狙いとする用語が反映されないことがあるとしたら(即ち、完全性が無いとしたら)どうしますか?
やることは実はあまり変わらない。適切な代替手段を持たない限り意味の無い議論です。強いて言えば、文書のどこかに、わざわざ、検索のためのキーワードというページでも追加してもらうかな。
当然、業務特性によって、全文検索システムを利用する意味が無い場合は、最初から無視してもらえばよい。
.*.
審査員の自炊3
ここに来る人の中には不思議と一人も自炊の経験者が居ない。願望は言うが実は伴わないのか、そういう危ないことは誰に言わないを徹底しているのか。だから、具体的な自炊の方法は、言ってくれない。聞きかじったような知識が並べられるだけです。まあ、それでもイメージを掴むには必要なので、聞きかじりを補足しながら書き並べることにする。
順不同
本来は手順があるんでしょうが、メモとか気になったこととかを取り合えず順不同で書き出すことにしよう。
.*.
自炊は何であれ疲れる。ハードコピーの自炊を請け負う業者も、今ではあちこちにたくさん存在します。
.*.
ここに来る人の中には不思議と一人も自炊の経験者が居ない。願望は言うが実は伴わないのか、そういう危ないことは誰に言わないを徹底しているのか。だから、具体的な自炊の方法は、言ってくれない。聞きかじったような知識が並べられるだけです。まあ、それでもイメージを掴むには必要なので、聞きかじりを補足しながら書き並べることにする。
順不同
本来は手順があるんでしょうが、メモとか気になったこととかを取り合えず順不同で書き出すことにしよう。
- 先ず原紙。自炊する対象となる文書ハードコピー。これは普通は閉じられているかな。ばらばらのものもあるかな。まあ色々です。片面だったり両面だったり。サイズも向きも色々。
- ばらばらのカット紙にするのが最初のステップ。一連のものは同じサイズできれいに切り出したい。必然性があるかどうかは分からないが控えを残すにも当然揃っていた方がいいでしょう。
- カット紙はエッジが綺麗に決まっている方がよい。スキャン時の誤差とかエラーを軽減できる目論見がある。
- 道具?。裁断機というらしい。プラスという文具メーカーのものが売れているとか。ボーナスもたっぷりかな?。プラス手動断裁機 PK-513L
- 裁断機も限界はある。いきなり裁断機は使わない。薄い雑誌ぐらいはいきなりというのもあるが。分厚いものは駄目。どうするんだろう。
- カッターで閉じ紐とか背表紙の布とかを切り離して、兎に角、ばらばらにする。
- ばらばらにした紙は目的毎に揃えカットサイズを決める。
- 後は、裁断機の性能から適当な厚さを決めて、決めたカットサイズに合わせて裁断していく。これが中々難しい。なるべく文書内容が余白の真ん中に来るようにしたい。最初から気合良く行かないで、余白をなるべく残すようにするのがコツ?
- 綺麗に揃ったカット紙が出来たらスキャナーに掛ける。スキャナーはスキャナーで少々の不揃いは構わないとしているし、PDFにする段階で余白は自動的に調整してくれる期待も残すが、あくまでもアナログ的に考えて進める。
- カット紙の連続スキャン。フィーダーが付いていても途中で紙の向きが変わるものはどうしてもトラブルを起こすのでNG。ベストセラーは富士通製。キャノンあたりが競合機を出すが全く追いつかない。とは言え、富士通PFUのシリーズも飽きが来ていて面白くない。
- スキャン時に悩むのはDP(ドットパーインチ)だ。写真画像を芸術領域まで楽しむ人のスキャンは4000DPIでも驚かないが、文章を見る場合は200DPIでも足りる。自分の自炊の基準を作りたいと悩む訳だ。数字が低いほど処理はスピーディ。小さい文字はつぶれる可能性あり。悩み尽き無し。
- オリジナルを残す場合は、200dpiまたは300dpiが推奨。オリジナルを捨てる場合は600dpiがお奨め。将来的に高性能のOCRを使うには600DPIでイメージ情報を残したい。処理性能は日進月歩で追いつくが失った画像データは取り返すのが大変。というのが理由。
- PDFにするときには、検索性を考えてOCR処理を入れる。
- ファイル名をつけて保存。出張用のノートPCに送りいれる。
- 後は、データバックアップを含めて文書管理の世界だ。
.*.
自炊は何であれ疲れる。ハードコピーの自炊を請け負う業者も、今ではあちこちにたくさん存在します。
.*.
審査員の自炊-著作権
「自炊」とは「手持ちのハードコピーの電子化作業」のことです。
.*.
これ別にコンサルの自炊でも同じですが、兎に角、参照したい情報は多いので、ハードコピーを持ち歩くこともできない。ということで、昨今の自炊の話なる。
規格(書)を自炊していいのか。他の著作物と同じく、基本は駄目に決まっています。配布目的なら悪質な犯罪でとっ捕まえられますね。多分。
教育目的とかなら?フェアユースのアメリカではOKのはず。日本は駄目。政治家と役人が怠け者だから?。
自分しか見ない。今ならPDF版も売られているが、昔はハードコピー版ですから、PDFに刷るには自分で作るしかない。自炊ですね。他の誰にも見せない前提なら、注意を受ける程度と思われる。もちろんどのようなお咎めがくるか、責任は持たない。
ハードコピーの場合も、本物を持ち歩くとぼろぼろになって返ってよろしくないので、原紙はオフィスに保管して、コピー版を透明カバーに入れて持ち歩くのも、注意を受ける程度で済むのではないか。
だから、オリジナルを自分が保有し、自分しか利用しない前提で、自炊するのはOKと考えたい。OKというのは、厳密にはコピーは許さないが、告訴されることは無く、実質的には容認される範囲と考えたい。そうでなければ、審査員もコンサルも大変。会社単位で購入してクラウド上においているのでないから、罪?は軽い。
そもそも、規格の類の著作権保護は当然として、コピーして使うなどの類を禁止するのは、悪質な権利主張かもしれない。米国流のフェアユースの範疇をもっと拡大すべきだろう。「日本規格協会」も何かに毒されているというわけでもない筈です。
.*.
自炊を禁止する著作権者もいる。日本の規格書などもそうだ。普及より金儲け?。最初からPDF版を買えといっているのかな。ハードコピーで買ったものをPDFに変えて何が文句あるのか。サーバーに入れておいてみんなで共有して何が悪いのか。権利者だから主張するのは勝手だけど、その根性は捻じ曲がっているのではないか?。
「自炊」とは「手持ちのハードコピーの電子化作業」のことです。
.*.
これ別にコンサルの自炊でも同じですが、兎に角、参照したい情報は多いので、ハードコピーを持ち歩くこともできない。ということで、昨今の自炊の話なる。
規格(書)を自炊していいのか。他の著作物と同じく、基本は駄目に決まっています。配布目的なら悪質な犯罪でとっ捕まえられますね。多分。
教育目的とかなら?フェアユースのアメリカではOKのはず。日本は駄目。政治家と役人が怠け者だから?。
自分しか見ない。今ならPDF版も売られているが、昔はハードコピー版ですから、PDFに刷るには自分で作るしかない。自炊ですね。他の誰にも見せない前提なら、注意を受ける程度と思われる。もちろんどのようなお咎めがくるか、責任は持たない。
ハードコピーの場合も、本物を持ち歩くとぼろぼろになって返ってよろしくないので、原紙はオフィスに保管して、コピー版を透明カバーに入れて持ち歩くのも、注意を受ける程度で済むのではないか。
だから、オリジナルを自分が保有し、自分しか利用しない前提で、自炊するのはOKと考えたい。OKというのは、厳密にはコピーは許さないが、告訴されることは無く、実質的には容認される範囲と考えたい。そうでなければ、審査員もコンサルも大変。会社単位で購入してクラウド上においているのでないから、罪?は軽い。
そもそも、規格の類の著作権保護は当然として、コピーして使うなどの類を禁止するのは、悪質な権利主張かもしれない。米国流のフェアユースの範疇をもっと拡大すべきだろう。「日本規格協会」も何かに毒されているというわけでもない筈です。
.*.
自炊を禁止する著作権者もいる。日本の規格書などもそうだ。普及より金儲け?。最初からPDF版を買えといっているのかな。ハードコピーで買ったものをPDFに変えて何が文句あるのか。サーバーに入れておいてみんなで共有して何が悪いのか。権利者だから主張するのは勝手だけど、その根性は捻じ曲がっているのではないか?。
審査員の自炊1
審査員はあちこち飛び回る。本社と事業所とを見て回るので、地方地方を訪問することになる。特に海外の英連邦に沿って仕事をしている審査員は、海運業界、保険業界など、半ば伝統的に各国の拠点を見て回る。
彼らは、先々でその地方の食事を口にするわけで、中には美味しいものに行き当たる。腕に覚えがあれば自分でも作ってみようとする。地方地方のまかない料理はそんなに複雑なものでないからそれなりの味は再現できるのだろう。
拠点が遠方だと、単身で、結構長丁場で出かけることもあるので、キッチン付きの部屋を選ぶ人も居る。外食ばかりでは味も健康も好ましくない。
コンサルタントも同じ状況だが、嫌、審査員が長くても1〜2週間であるのに比べて、コンサルの場合は1〜2ヶ月も珍しくないほど、本当に長丁場になることもあるとか。でも、審査員ほど貧しくない(はるかにリッチだ)から、外食も安い不味いとは縁がない。筈です。なんか嘘っぽいな。
ベテラン審査員が逗留先へ簡単キッチンセットというかクッキングセットを別送で届けておく話は珍しくない。嫌、ほとんど聞いたことない。一部のこだわり者です。
.*.
審査員はせいぜい2週間。週末は帰宅。
コンサルはもっと長いが報告のためと称して少なくとも2週間に1回は帰る。
海外だともっと長くなる。
短期は外食とか、今なら中食(なかしょく)ですが、長期になると、健康志向の者は自炊に取り組む。職業を問いませんね。簡単な自炊ができるようなホテルは探せば見つかります。料金も安い。
.*.
いずれも長居は無用です。
審査員はあちこち飛び回る。本社と事業所とを見て回るので、地方地方を訪問することになる。特に海外の英連邦に沿って仕事をしている審査員は、海運業界、保険業界など、半ば伝統的に各国の拠点を見て回る。
彼らは、先々でその地方の食事を口にするわけで、中には美味しいものに行き当たる。腕に覚えがあれば自分でも作ってみようとする。地方地方のまかない料理はそんなに複雑なものでないからそれなりの味は再現できるのだろう。
拠点が遠方だと、単身で、結構長丁場で出かけることもあるので、キッチン付きの部屋を選ぶ人も居る。外食ばかりでは味も健康も好ましくない。
コンサルタントも同じ状況だが、嫌、審査員が長くても1〜2週間であるのに比べて、コンサルの場合は1〜2ヶ月も珍しくないほど、本当に長丁場になることもあるとか。でも、審査員ほど貧しくない(はるかにリッチだ)から、外食も安い不味いとは縁がない。筈です。なんか嘘っぽいな。
ベテラン審査員が逗留先へ簡単キッチンセットというかクッキングセットを別送で届けておく話は珍しくない。嫌、ほとんど聞いたことない。一部のこだわり者です。
.*.
審査員はせいぜい2週間。週末は帰宅。
コンサルはもっと長いが報告のためと称して少なくとも2週間に1回は帰る。
海外だともっと長くなる。
短期は外食とか、今なら中食(なかしょく)ですが、長期になると、健康志向の者は自炊に取り組む。職業を問いませんね。簡単な自炊ができるようなホテルは探せば見つかります。料金も安い。
.*.
いずれも長居は無用です。
2011年08月11日
オープニングとクロージングで分かる審査員の力量?
Opening Meeting & Closing Meeting
実際に審査員の力量が分かるかどうか難しいけど、疑問に思ったりすることは結構あるようです。
理由はそれぞれのご都合?が出て、何らかの妥協がなされるからでしょう。実際には何が問題現象でしょうか。置かれた状況、立場で必ずしも問題ではありませんし、考え方によっても問題とする必要もありませんが、留意しておきたいことには違いありません。
定刻、時間通りに始まらない。
定刻、時間通りに終わらない。
定刻の開始時間が過ぎてもだらだらと人が集まる。遅れてきても注意を受けない。
トップが出席しない。
情報セキュリティ管理責任者が出席しない。
内部監査の責任者が出席しない。
審査対象部門のトップが出席しない。
審査対象部門のISMS担当が出席しない。
オープニング会議の時間が長い。初回審査/初動審査、継続審査、更新審査などでは、初回・初動はやや長くなるのは止むを得ないが、毎回セレモニー化した段取りを延々と繰り広げるのは工夫がない。
オープニング会議の時間が短い。極めて事務的に口頭でいろいろなことを説明してさっさと終わる。この程度なら事前にメールしてくれれば十分。何を質問していいのかさえ分からない。
オープニングで周知する諸注意事項・確認事項が文書で配布されない。事前に文書を渡す審査員がいる一方で、何から何まで口頭で済ます審査員も居る。
審査チームが集結していない。オープニングの質疑応答の状況を共有しないまま、勝手に審査を始めている。
クロージングに出てこない審査員がいる。所見は出ているのに、説明責任を果たさないのはどういうことか。代わりの審査員が臨場感の無い一般論で説明しても白けるだけ。
審査員は審査効率・限られた審査工数でどれだけの部署・人数をカバーできるかを先に考えるのだろうが、結果、ばらばらに審査が始まり、ばらばらに審査が終わる印象だ。審査員のそのような振る舞いは組織に伝播すれば、組織側の対応もいい加減になる。自業自得。少々窮屈でも最初と最後はしっかり決めてもらわなければいけない。クライアント・トップの前に全員が顔を見せることがこのビジネス・イベントでは重要なのだ。ということです。
経営者インタビュー/トップ・インタビューも同様です。トップの意思、気合、思いを確認する場でもありますから、それは当然審査に反映させなければいけない。筈です。にも関わらず、せっかくのメッセージを乾いたテキスト情報に変換させるだけのために使って済ます。であれば残念なことですえ。
経営者インタビューも審査チームが全員揃う形が望ましい。筈です。審査員ご自身が、「思いの共有」を無駄と考えればそれまでです。審査員の幼ささえ感じさせます。
Opening Meeting & Closing Meeting
実際に審査員の力量が分かるかどうか難しいけど、疑問に思ったりすることは結構あるようです。
理由はそれぞれのご都合?が出て、何らかの妥協がなされるからでしょう。実際には何が問題現象でしょうか。置かれた状況、立場で必ずしも問題ではありませんし、考え方によっても問題とする必要もありませんが、留意しておきたいことには違いありません。
定刻、時間通りに始まらない。
定刻、時間通りに終わらない。
定刻の開始時間が過ぎてもだらだらと人が集まる。遅れてきても注意を受けない。
トップが出席しない。
情報セキュリティ管理責任者が出席しない。
内部監査の責任者が出席しない。
審査対象部門のトップが出席しない。
審査対象部門のISMS担当が出席しない。
オープニング会議の時間が長い。初回審査/初動審査、継続審査、更新審査などでは、初回・初動はやや長くなるのは止むを得ないが、毎回セレモニー化した段取りを延々と繰り広げるのは工夫がない。
オープニング会議の時間が短い。極めて事務的に口頭でいろいろなことを説明してさっさと終わる。この程度なら事前にメールしてくれれば十分。何を質問していいのかさえ分からない。
オープニングで周知する諸注意事項・確認事項が文書で配布されない。事前に文書を渡す審査員がいる一方で、何から何まで口頭で済ます審査員も居る。
審査チームが集結していない。オープニングの質疑応答の状況を共有しないまま、勝手に審査を始めている。
クロージングに出てこない審査員がいる。所見は出ているのに、説明責任を果たさないのはどういうことか。代わりの審査員が臨場感の無い一般論で説明しても白けるだけ。
審査員は審査効率・限られた審査工数でどれだけの部署・人数をカバーできるかを先に考えるのだろうが、結果、ばらばらに審査が始まり、ばらばらに審査が終わる印象だ。審査員のそのような振る舞いは組織に伝播すれば、組織側の対応もいい加減になる。自業自得。少々窮屈でも最初と最後はしっかり決めてもらわなければいけない。クライアント・トップの前に全員が顔を見せることがこのビジネス・イベントでは重要なのだ。ということです。
経営者インタビュー/トップ・インタビューも同様です。トップの意思、気合、思いを確認する場でもありますから、それは当然審査に反映させなければいけない。筈です。にも関わらず、せっかくのメッセージを乾いたテキスト情報に変換させるだけのために使って済ます。であれば残念なことですえ。
経営者インタビューも審査チームが全員揃う形が望ましい。筈です。審査員ご自身が、「思いの共有」を無駄と考えればそれまでです。審査員の幼ささえ感じさせます。
案外理解されていない「フリーソフト」の管理策
フリーソフトに関する所見を記載するときに、規格項目のどれを適用するかで若干のやり取りがあった。いきなりそれは「A.12.5.4」と言い切った人が居た。「トロイの木馬」というキーワードが解説本(ISO17799)に記載されているからだと言う。恐れ入った。思考停止状態だ。
フリーソフトは別にウイルスと言うわけでない。ウイルスが潜むのがフリーソフトと言う分けでもない。
そもそもA.12.5.4は情報漏えいに対する管理策だ。トロイの木馬が入り込んだ場合に備えてポートに脆弱性を残すなとか、データの読み出しパターンからアクセスに制限を掛けるとか、。
フリーソフトに対する管理策はいくつかの観点から見る必要がある。
フリーソフト自体の安全性を確保するための管理策。すなわち、システムの受け入れで見る。(A.10.3.2)
導入前のセキュリティ評価については、力量=評価能力の適切さも問われる。(A.8.2.2)
フリーソフトの利用に当たっての適切な承認プロセスの有無も観点の一つになる。(A.6.1.4)
フリーソフトは必ずしも健全な目的で開発されたものでない場合もあるため、コンプライアンス上の誤用の防止の観点のチェックも必要。(A.15.1.5)
フリーソフトを商品やサービスに組み込む場合は、著作権上の制限をクリアしている必要がある。(A.15.1.2)
また、フリーソフトを改変して利用する場合は、パッケージの利用に準じた考え方も必要になる。(A.12.5.3)
暗号化ツールの場合は輸出輸入規制との関連もクリアする必要がある。(A.15.1.6)
フリーソフトの中でもスクリプト型のもの、ActiveXコントロールやJAVAアプレットなどの利用についてはモバイルコードに対する管理策として明確にすることになる。(A.10.4.2)
他にもあるだろうが、要するにフリーソフトという括りで一律に管理策を設定することは実際は困難です。ですが、冒頭のA.12.5.4に該当するものは出てこない。フリーソフトの動作を評価して導入の是非を決めるので、管理策としてはA.10.3.2が相当する。A.12.5.4はシステムの作り込み上の管理策という基本的な理解がないと冒頭の決め打ちに至るのではないか。
件の二人の老紳士はそれぞれIT業界に居たベテランですが、案外でした。
フリーソフトに関する所見を記載するときに、規格項目のどれを適用するかで若干のやり取りがあった。いきなりそれは「A.12.5.4」と言い切った人が居た。「トロイの木馬」というキーワードが解説本(ISO17799)に記載されているからだと言う。恐れ入った。思考停止状態だ。
フリーソフトは別にウイルスと言うわけでない。ウイルスが潜むのがフリーソフトと言う分けでもない。
そもそもA.12.5.4は情報漏えいに対する管理策だ。トロイの木馬が入り込んだ場合に備えてポートに脆弱性を残すなとか、データの読み出しパターンからアクセスに制限を掛けるとか、。
フリーソフトに対する管理策はいくつかの観点から見る必要がある。
フリーソフト自体の安全性を確保するための管理策。すなわち、システムの受け入れで見る。(A.10.3.2)
導入前のセキュリティ評価については、力量=評価能力の適切さも問われる。(A.8.2.2)
フリーソフトの利用に当たっての適切な承認プロセスの有無も観点の一つになる。(A.6.1.4)
フリーソフトは必ずしも健全な目的で開発されたものでない場合もあるため、コンプライアンス上の誤用の防止の観点のチェックも必要。(A.15.1.5)
フリーソフトを商品やサービスに組み込む場合は、著作権上の制限をクリアしている必要がある。(A.15.1.2)
また、フリーソフトを改変して利用する場合は、パッケージの利用に準じた考え方も必要になる。(A.12.5.3)
暗号化ツールの場合は輸出輸入規制との関連もクリアする必要がある。(A.15.1.6)
フリーソフトの中でもスクリプト型のもの、ActiveXコントロールやJAVAアプレットなどの利用についてはモバイルコードに対する管理策として明確にすることになる。(A.10.4.2)
他にもあるだろうが、要するにフリーソフトという括りで一律に管理策を設定することは実際は困難です。ですが、冒頭のA.12.5.4に該当するものは出てこない。フリーソフトの動作を評価して導入の是非を決めるので、管理策としてはA.10.3.2が相当する。A.12.5.4はシステムの作り込み上の管理策という基本的な理解がないと冒頭の決め打ちに至るのではないか。
件の二人の老紳士はそれぞれIT業界に居たベテランですが、案外でした。
2011年08月10日
「サイバーインテリジェンス」とはサイバー空間における諜報(スパイ)活動のことと誰が決めたのか?単にサイバー空間での知的活動またはその結果でも良さそうに思うが、こういう訳が一般化すると社名とかにサイバーインテリジェンスを使ったところは大変なことになる。プラスイメージで使ったのに完全にマイナスイメージなんだから。
株式会社 サイバーインテリジェンス
http://cyber-intelligence.co.jp/
この岐阜県の会社は洒落た名前の会社で普通に業務をやっていたはずですが、今では「株式会社 知能犯」みたいな感じになってしまった。こういう事業継続課題はあまり例が無い。言葉の行く末を見極めて、然るべくタイミングで名称変更が妥当でしょう。費用はどの程度か。全く気の毒な話だ。無理やりに言えば、名称を検討する段階で、どのようなリスクを持つものか事前にしっかり調査をしていなかったというべきなんだろうが、それも酷い話ではある。
.*.
どうやら新しい言葉のようで定義?もこれからになるのだろうか。何処かのページの開設でも眺めてみる。どうやら「インターネットの世界における悪知恵・悪巧み」のように使われて居る。インターネットを利用する知識が本来だろうが、知識は悪の道に走ったと言うことのようだ。
株式会社 サイバーインテリジェンス
http://cyber-intelligence.co.jp/
この岐阜県の会社は洒落た名前の会社で普通に業務をやっていたはずですが、今では「株式会社 知能犯」みたいな感じになってしまった。こういう事業継続課題はあまり例が無い。言葉の行く末を見極めて、然るべくタイミングで名称変更が妥当でしょう。費用はどの程度か。全く気の毒な話だ。無理やりに言えば、名称を検討する段階で、どのようなリスクを持つものか事前にしっかり調査をしていなかったというべきなんだろうが、それも酷い話ではある。
.*.
どうやら新しい言葉のようで定義?もこれからになるのだろうか。何処かのページの開設でも眺めてみる。どうやら「インターネットの世界における悪知恵・悪巧み」のように使われて居る。インターネットを利用する知識が本来だろうが、知識は悪の道に走ったと言うことのようだ。
