事務局のご都合で審査プログラムを修正また修正?
クライアントを見ていてはらはらすることがあるそうです。
クライアントの都合でいろいろ変更させているケースがあるが、中にはが審査プログラムを勝手に作ってしまうケースまであります。担当者に予定が入ったからといってドンドン変更してくるケースも。間際の変更、当日の変更も。
誰が審査員だか分からない。審査の目的を達成するために審査員が審査プログラムを策定する。あくまでも審査員の都合が優先します。でないとまともな審査が実現しません。最悪のケースでは審査が成立しない羽目になります。(本当かな?)
ISMSでは特に重要な部門の審査は最大優先させます。組織の状況で重点は変わりますが、組織のご都合で時間や順序を変えていいものでは有りません。
間際になっても変更また変更を繰り返す事務局は傍から見ていても気分が悪い。事務局が組織を掌握できていないからでしょう。自分の無能を棚に上げて、審査員に無理を言い通すような事務局のISMSが上手くことが運ぶわけは無いとか。
近頃は審査員もお行儀良く言われるままに計画しているようです。彼にとっては煩い事務局なんかどうでもいいのでしょう。さっさと済ませて一件落着?
これって、立派なモラルハザードですね。誰が得して誰が損するのでしょう?
明らかに損をするのは経営者。しっかり審査してしっかり改善を進めたいのに、それが歪んでしまった。愚かな事務局を指名したのは経営者。自業自得?。よく言われるように「経営者はブレーキとアクセルと両方一緒に踏んではいけない」のですが、これは正に悪い事例です。
.*.
サイバー攻撃報告義務付け!さてどうする?
サイバー攻撃報告義務付け!さてどうする?
政府、情報セキュリティ政策会議にて、政府の設備調達契約時、情報安全対策を要件とする決定を行った。契約では、情報漏れ(及びそのリスクを認識した場合)の報告を義務付ける。
産業界も価値の連鎖。政府の契約条件は、政府と直接契約していなくても多くの企業は同等以上の体制を整備することが求められることになるだろう。
.*.
産業界はリスクまで報告するとなるとキリが無いから基準作りを明確にするように主張するだろうとするのは、ややピンボケだ。
政府が問題とする視点は;
先ず、情報漏えい。そこで問題となるのは、情報漏えいの有無を把握できる仕組みがあるのか。一切のアクセス監視、リアルタイムのログ解析。
次は、特記的なサイバー攻撃。特定の組織・団体、新しい手口、ターゲット情報。これらは、日本国を守るために必要な重要情報あり、タイムリーに報告されることが必要。攻撃を解析する技術が必要である。エリア・時間・メディアにまたがる超分散?会席が必要。しかもリアルタイム。自己学習型のセキュリティ監視サーバーを設置するのが安直か?
.*.
政府、情報セキュリティ政策会議にて、政府の設備調達契約時、情報安全対策を要件とする決定を行った。契約では、情報漏れ(及びそのリスクを認識した場合)の報告を義務付ける。
産業界も価値の連鎖。政府の契約条件は、政府と直接契約していなくても多くの企業は同等以上の体制を整備することが求められることになるだろう。
.*.
産業界はリスクまで報告するとなるとキリが無いから基準作りを明確にするように主張するだろうとするのは、ややピンボケだ。
政府が問題とする視点は;
先ず、情報漏えい。そこで問題となるのは、情報漏えいの有無を把握できる仕組みがあるのか。一切のアクセス監視、リアルタイムのログ解析。
次は、特記的なサイバー攻撃。特定の組織・団体、新しい手口、ターゲット情報。これらは、日本国を守るために必要な重要情報あり、タイムリーに報告されることが必要。攻撃を解析する技術が必要である。エリア・時間・メディアにまたがる超分散?会席が必要。しかもリアルタイム。自己学習型のセキュリティ監視サーバーを設置するのが安直か?
.*.
クラウド事業者のインド進出加速が示唆すること
クラウド事業者のインド進出加速が示唆すること
普通のデータセンターを利用しているつもりだったが、知らない間に会社のデータはインドに出ていたなんてことに。
平時は国内にあるが、クラウド事業者のトラブル時にはインドへ出ていたとか。
.*.
法律も国の成り立ちも違う。インドは中国・ロシアほどのギャップは無いにしても、何処が守るべき線か明確にしておかないといけない。
.*.
普通のデータセンターを利用しているつもりだったが、知らない間に会社のデータはインドに出ていたなんてことに。
平時は国内にあるが、クラウド事業者のトラブル時にはインドへ出ていたとか。
.*.
- クラウド上のデータの安全性はどのように保障されるのか?
- 海外に出た情報の安全性はどのように確保されるのか?
法律も国の成り立ちも違う。インドは中国・ロシアほどのギャップは無いにしても、何処が守るべき線か明確にしておかないといけない。
.*.
ドコモの不通話トラブルが都内で発生!ISMSではどう見るか?
ドコモの不通話トラブルが都内で発生!ISMSではどう見るか?
本日(2012/1/25)都内で4時間ほど、どこも携帯が利用できなくなった。メールなども繋がりにくい状態が続いた。
本日(2012/1/25)都内で4時間ほど、どこも携帯が利用できなくなった。メールなども繋がりにくい状態が続いた。
- 携帯電話を事業上・業務上のキーファクターとしているものを調べる。本日発生したトラブルでどのような事態が起きたかどうか見る。事業継続計画が策定されていたら、適切に作動したかを調べる。
- 業務上には、緊急時の対応も考慮する。緊急時の連絡を携帯を前提としていないか。そのときのリスクの見極め。
- 安否連絡システムを導入しているところでは、その実効性を改めて検証すること。
スマホが普及すれば、人が特定の場所で集中的にケータイを使い始めれば、急速に通信機器に負荷が掛かって、いつでも何処でも起こりうる事態です。通信機器の不具合もありえます。
.*.
不正アクセス禁止法改正案
不正アクセス禁止法改正案
フィッシング手口=IDやパスワードなどの情報を収集するだけ、または保持するだけで犯罪になる。
現行法では実害が発生しない限り訴えることが出来ないらしい。
これはISMSとしてはどうなるか?
不用意な情報収集はリスクが伴うということ。
会員登録時、問い合わせ時などに、必要ないだろうと思われる情報まで集めているが、何らかの線引きが求められるかもしれない。
.*.
ウイルス定義ファイルの更新日を確認する
ウイルス定義ファイルの更新日を確認する
ウイルス守対策ソフトのウイルス定義ファイル~ウイルスパターンファイルの更新日付の確認はとても重要なことです。パターンコードだけが表示されるのでは新しいのか古いのか分かりません。状況にもよりますが、1日に何度も更新されて当たり前の昨今では、時間(時刻)も必要でしょう。
多くの人は情報システム部門で設定しているので、ユーザーは特に何もしなくて良いと思い込んでいます。正しく更新されている「筈」で済ませています。「然うは問屋が卸さない」のがセキュリティの世界です。
シマンテック(ノートン)は分かりやすい。
マイクロソフトのエッセンシャルも分かりやすい。
アヴァスト!も分かりやすい。
例外的にトレンドマイクロのウイルスバスターは分かり難い。どうなっているの?
「ウイルスバスター ウイルス定義ファイル 更新日付」
色々探しても良く分からない。何が最新かはトレンドマイクロの何処のページを見ればよいかの案内が有るが、問題は自分のパソコンに最新が来ているかどうかを知ること。不親切なサイトあるいは不親切なウイルスバスターのコンソールを見ていて気分が悪くなった。正しくタイムリーにリリースさせることが出来ないから分かり難くしている訳でもないだろうが、探して見つからないのは嫌なものだ。
ウイルスバスターを利用しない理由の一端はこの辺にあるのだろう。マカフィーもそう言えば利用しないね。
ウイルス守対策ソフトのウイルス定義ファイル~ウイルスパターンファイルの更新日付の確認はとても重要なことです。パターンコードだけが表示されるのでは新しいのか古いのか分かりません。状況にもよりますが、1日に何度も更新されて当たり前の昨今では、時間(時刻)も必要でしょう。
多くの人は情報システム部門で設定しているので、ユーザーは特に何もしなくて良いと思い込んでいます。正しく更新されている「筈」で済ませています。「然うは問屋が卸さない」のがセキュリティの世界です。
シマンテック(ノートン)は分かりやすい。
マイクロソフトのエッセンシャルも分かりやすい。
アヴァスト!も分かりやすい。
例外的にトレンドマイクロのウイルスバスターは分かり難い。どうなっているの?
「ウイルスバスター ウイルス定義ファイル 更新日付」
色々探しても良く分からない。何が最新かはトレンドマイクロの何処のページを見ればよいかの案内が有るが、問題は自分のパソコンに最新が来ているかどうかを知ること。不親切なサイトあるいは不親切なウイルスバスターのコンソールを見ていて気分が悪くなった。正しくタイムリーにリリースさせることが出来ないから分かり難くしている訳でもないだろうが、探して見つからないのは嫌なものだ。
ウイルスバスターを利用しない理由の一端はこの辺にあるのだろう。マカフィーもそう言えば利用しないね。
手抜かりの多い「記録の管理」
手抜かりの多い「記録の管理」
記録の管理がまるで分かっていないことに気がつかされる。書式の枠を埋めてバインダーに閉じてキャビネットに収容して施錠。期限がきたら廃棄する。これが記録の管理ですか。ただのISMSごっこではあ~りませんか。
コンピューターの各種ログも同じ。監視カメラのビデオ情報も同じ。℡応答時の音声データの記録も同じ。入室時の電子錠のデータも同じ。
保管も管理には違いないが、そこで得られる効用はトレーサビリティだけ。何か問題が起きた場合、原因究明に利用できるというもの。基本的には後の祭り。社会に対して説明責任を果たすことも出来ない。
.*.
ISMSの規格を見ても、記録管理におけるダイナミズムの観点がなかなか読み取れない。当たり前すぎる問題だから? 嫌、記録に対する概念が実は確立されていないからですね。狭義の記録は活動結果を示すデータ的なもの。活動のための計画は記録か文書かはっきりしない。年度方針は記録ですか、文書ですか。両者を分ける定義は実は存在しません。無理に分けても意味を成さないと言った方が正しいでしょうか。
ISO27001:2013では文書と記録をもっと統一的に扱うようにチャレンジします。
.*.
さて、ここでは、「記録の目的」を明確にせよ、あるいは正しく理解せよと申し上げたい。また実際に記録を取り始めた時には、果たして、目的を達成できる記録内容かどうかも常々チェックすることが必要であることも申し上げたい。
好き嫌いの問題はありますが、「超監視社会」の実現です。SF映画でよく表現される不愉快な社会の実現ですから、その内、人に優しいセキュリティが議論される時代が来るかもしれませんね。
.*.
但し、当初の目的とは違ったことに記録を利用しようとする時は注意が必要です。データの特性・素性、目的外利用の可否など。
.*.
記録の管理がまるで分かっていないことに気がつかされる。書式の枠を埋めてバインダーに閉じてキャビネットに収容して施錠。期限がきたら廃棄する。これが記録の管理ですか。ただのISMSごっこではあ~りませんか。
コンピューターの各種ログも同じ。監視カメラのビデオ情報も同じ。℡応答時の音声データの記録も同じ。入室時の電子錠のデータも同じ。
保管も管理には違いないが、そこで得られる効用はトレーサビリティだけ。何か問題が起きた場合、原因究明に利用できるというもの。基本的には後の祭り。社会に対して説明責任を果たすことも出来ない。
.*.
ISMSの規格を見ても、記録管理におけるダイナミズムの観点がなかなか読み取れない。当たり前すぎる問題だから? 嫌、記録に対する概念が実は確立されていないからですね。狭義の記録は活動結果を示すデータ的なもの。活動のための計画は記録か文書かはっきりしない。年度方針は記録ですか、文書ですか。両者を分ける定義は実は存在しません。無理に分けても意味を成さないと言った方が正しいでしょうか。
ISO27001:2013では文書と記録をもっと統一的に扱うようにチャレンジします。
.*.
さて、ここでは、「記録の目的」を明確にせよ、あるいは正しく理解せよと申し上げたい。また実際に記録を取り始めた時には、果たして、目的を達成できる記録内容かどうかも常々チェックすることが必要であることも申し上げたい。
好き嫌いの問題はありますが、「超監視社会」の実現です。SF映画でよく表現される不愉快な社会の実現ですから、その内、人に優しいセキュリティが議論される時代が来るかもしれませんね。
.*.
但し、当初の目的とは違ったことに記録を利用しようとする時は注意が必要です。データの特性・素性、目的外利用の可否など。
.*.
International Register of ISMS Certificates
International Register of ISMS Certificates
http://www.iso27001certificates.com/
.*.
ちんけ(チンケ?)なサイトです。素人が作ったような。殆どメンテナンスされていない。事務的に作っただけで、サイト運営に関する情熱がまるで伝わってこない。使いやすさも何も考えていない。というか、そもそもここに登録しても何の意味もなさそうだ。
認証機関の名称も古いままだ。
どの程度ここは正しいのか?いい加減なサイトに見える。
誰がどのように使うサイトなんだろう。認証を取得していることを証明する訳じゃないでしょうし、意味無いね。
こんなところに登録していると、逆に、品位が低く見られる。
海外のISMSが日本とはまるで違ったレベルのものだということも理解できる。
.*.
登録を取り消しておいたほうが良さそうに見える。
ここのサイト運営の責任者は不真面目で失礼な感じだ。嫌だね。
.*.
こんなサイトへの登録を進める人が居たらその人を疑うね。
.*.
http://www.iso27001certificates.com/
.*.
ちんけ(チンケ?)なサイトです。素人が作ったような。殆どメンテナンスされていない。事務的に作っただけで、サイト運営に関する情熱がまるで伝わってこない。使いやすさも何も考えていない。というか、そもそもここに登録しても何の意味もなさそうだ。
認証機関の名称も古いままだ。
どの程度ここは正しいのか?いい加減なサイトに見える。
誰がどのように使うサイトなんだろう。認証を取得していることを証明する訳じゃないでしょうし、意味無いね。
こんなところに登録していると、逆に、品位が低く見られる。
海外のISMSが日本とはまるで違ったレベルのものだということも理解できる。
.*.
登録を取り消しておいたほうが良さそうに見える。
ここのサイト運営の責任者は不真面目で失礼な感じだ。嫌だね。
.*.
こんなサイトへの登録を進める人が居たらその人を疑うね。
.*.
ASRエーエスアールの話が良く出てくる
ASRエーエスアールの話が良く出てくる
でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。
既存の審査機関は敷居が高い。こういう新手の審査機関が敷居が低いのかもしれない。結果、ISMSの普及に貢献することになるかもしれない。
ただ、優秀な審査員が待遇の悪い審査機関に行くとも思えない。玉石の石も結構混じるのではないか懸念される。石が審査した結果は、認証そのものを混乱させてクライアントまで迷惑を受ける羽目になるかもしれない。昔から「安物買いの銭失い」というから慎重な態度が望まれますね。審査員を慎重に吟味することです。そういう権利はありますから。
いずれにしても客観的なデータあるいは事実を確認したいものです。
.*.
結局は高く付く結果になるかも知れないASRに飛びついてしまう理由は簡単です。
ISMS取得は入札条件、取引条件にISMS認証取得が入り始めたからです。大企業ばかりならそのような条件が入っても既に取得済みなら何も変わりませんが、下請けの下請けを繰り返せば如何しても中小企業にお鉢は回ってきます。
小さいところがISOをやるのは想像以上に負担です。実務的にも心理的にも。そう言う時に、安い、従って手順もシンプルな審査は重宝することになります。
簡便な審査は、手抜きではなければ有効なわけですから、先を見ない限りは取り敢えずOKですね。
.*.
審査機関を見張る認定機関JIPDECの出方が問題になります。
.*.
エーエスアール株式会社
http://www.armsr.co.jp/
中途採用もやっている。どれくらいの給与水準でしょうか?
.*.
(追記)
本当にしつこいくらいASRの検索が多い。どちらかといえばネガティブな用語と一緒に検索されている。何があったのだろう。何が起きているのだろう。不健全なことが無いことを願うものです。
暫く記事を下げておいてまた戻したばかりだが状況は変わらない。営業をやりすぎて墓穴を掘っているのだろうか。検索の頻度が落ち着くことも無いから、勝手に想像できることとしては低コストを武器に既存の認証取得企業への切り替えアプローチがしつこく行われているのではないだろうか。
さて如何?
審査機関など何処でも同じ。大手にも始末の悪い審査員は居る。コストが抑えられれば問題ない。そもそもISMSで本気で改善など目論んでいない。嫌々やっているだけだから。
お宅は何処の審査機関ですかと聞かれて、胸を張っていえないような審査機関では何かあったら上にも取引先にも説明できない。審査機関にも信頼とブランドはあると考えたら実績の無いところとは付き合いたくない。
ISMSで体質改善を真面目に考えているなら、低コストや小工数をセールスポイントにアプローチしてくるところは避けます。所見の実績も見るべきです。無能な審査は時間と人数かけても無意味ですから。
セキュリティアドバイザーの助言を求めるべきでしょう。
.*.
NPO日本ネットワークセキュリティ協会
NPO日本ネットワークセキュリティ協会
http://www.jnsa.org/
社会に貢献するようなことをいろいろやっている。セキュリティ教育(eラーニング)なども無料で提供しているようだ。
.*.
情報セキュリティインシデントに関する調査報告書~発生確率編~
NPO 日本ネットワークセキュリティ協会
セキュリティ被害調査ワーキンググループ
2011年3月31日
http://www.jnsa.org/result/incident/data/2010incident_survey_probability.pdf
.*.
遠隔診断用及び環境設定用ポートの保護とは?
遠隔診断用及び環境設定用ポートの保護とは?
コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。
遠隔診断、環境設定用のポートは漬け込まれたときのリスクが大きい(コンピューターを乗っ取られてしまう)ので、ポートに対する保護策は重要である。
ところが、時々、この管理策を採用しないと表明する組織があるのには驚かされる。適用宣言書の除外項目に平気で入ってくる。何もしないで放置するのは有り得ない話ですよ。当組織ではこのポートは使っていない。だけで済ましてしまう。使えなくしてあれば立派な管理策です。使わないから放置してある?
どうぞこのコンピューターを乗っ取ってくださいとやる組織は有りませんから、ほぼ全組織が採用する管理策になります。
.*.
取引先の適用宣言書を見て、仮に管理策(A.11.4.4)が適用除外になっていたら、その組織は何か怪しいと思っていいでしょう。兎に角、何らかの事情を抱えた会社と言うことになります。
.*.
独立したレビューとは?
独立したレビューとは?
独立とは何が何に対して独立か。ISMSを推進している人(組織)に対して客観性を維持できる人・組織あるいは場の意味で独立していること。
普通に考えればマネジメントレビューが一番近い。この時に重要なのは内部監査責任者の立ち位置である。
マネジメントレビューでは情報セキュリティ管理責任者が経営者に報告し指示を受ける訳だが、情報セキュリティ管理責任者の一方的な言い分・報告をベースにしていたのでは客観性は維持されないくい。内部監査責任者が情報セキュリティ管理責任者と対等なスタンスでカウンター報告が同時にされなければいけない。
内部監査責任者が情報セキュリティ管理責任者の配下のものであってはならない。
繰り返すことになるが、マネジメントレビューの場で、内部監査結果報告が情報セキュリティ管理責任者からなされてはいけない。
マネジメントレビューの前に、内部監査責任者は監査計画および監査結果についての承認を経営者から得ることが望ましい。内部監査責任者は経営者に成り代わってISMSを点検しなければいけない。
.*.
初期段階、規模の小さな組織では、ISMSの事務局の人間が内部監査まで担当している。開発製造担当が品質保証も兼務しているようなもの。
工程能力の関係で止むを得ない状況だが、こういう場合もどのようにして客観性を確保するかが工夫のしどころです。
.*.
独立とは何が何に対して独立か。ISMSを推進している人(組織)に対して客観性を維持できる人・組織あるいは場の意味で独立していること。
普通に考えればマネジメントレビューが一番近い。この時に重要なのは内部監査責任者の立ち位置である。
マネジメントレビューでは情報セキュリティ管理責任者が経営者に報告し指示を受ける訳だが、情報セキュリティ管理責任者の一方的な言い分・報告をベースにしていたのでは客観性は維持されないくい。内部監査責任者が情報セキュリティ管理責任者と対等なスタンスでカウンター報告が同時にされなければいけない。
内部監査責任者が情報セキュリティ管理責任者の配下のものであってはならない。
繰り返すことになるが、マネジメントレビューの場で、内部監査結果報告が情報セキュリティ管理責任者からなされてはいけない。
マネジメントレビューの前に、内部監査責任者は監査計画および監査結果についての承認を経営者から得ることが望ましい。内部監査責任者は経営者に成り代わってISMSを点検しなければいけない。
.*.
初期段階、規模の小さな組織では、ISMSの事務局の人間が内部監査まで担当している。開発製造担当が品質保証も兼務しているようなもの。
工程能力の関係で止むを得ない状況だが、こういう場合もどのようにして客観性を確保するかが工夫のしどころです。
.*.
審査所見に記載された部門名の意味?
審査所見に記載された部門名の意味?
色々な審査会社の色々な審査報告を見るときっと想像以上に違いの大きさに驚くのではないだろうか。
審査所見に部門名が書いてある。
この部門名は何を意味するのか?ある部門へ行って審査をして出てきた問題を所見にする場合に、その部門名を記載しますが、その時の部門名の持つ意味は、単に問題を時間・場所・プログラムのコマを示していることになる。問題の所有者、問題解決の責任者としての部門名ではない。
その問題は他の時間・場所・プログラムのコマでも検出される可能性がある。審査は基本的にサンプリングで行われるため、現実に検出されるのが1箇所にとどまる場合もある。勿論、その部門の固有の問題であればその部門でしか検出されない。
検出される問題が1箇所か複数個所かはあまり重要でない。決定的ではない。複数箇所は重大だが、1箇所なら重大でないと決めて掛かって安心は出来ないと言うことです。
ところで、
時々、部門名のほかに事務局を併記している所見を見かける。これが如何しても分かりません。この審査員は部門名(発見場所)の他に、事務局と記載することで何を説明しようとしているのでしょう?
まさか、部門固有の問題か共通の問題かを説明しているのではないでしょうね。
そうなると部門名の意味が全く変わってくる。誰が対策すべきかを指示していることになりかねない。立派な越権行為?
複数個所で同様の指摘がある場合に事務局と記載しているものもある。事務局への注意喚起をしているつもりだろうが冗談ではない。サンプリングでしかやってない審査では件数の多少によらず事務局は全てを精査せざるを得ない。
要は審査員が余計なノイズを入れてはいけないということ。
複数部門で同様の問題が検出された場合は、最初の部門名を書くか、幾つかを併記し、それを超える場合はその他で括れば充分だろう。
色々な審査会社の色々な審査報告を見るときっと想像以上に違いの大きさに驚くのではないだろうか。
審査所見に部門名が書いてある。
この部門名は何を意味するのか?ある部門へ行って審査をして出てきた問題を所見にする場合に、その部門名を記載しますが、その時の部門名の持つ意味は、単に問題を時間・場所・プログラムのコマを示していることになる。問題の所有者、問題解決の責任者としての部門名ではない。
その問題は他の時間・場所・プログラムのコマでも検出される可能性がある。審査は基本的にサンプリングで行われるため、現実に検出されるのが1箇所にとどまる場合もある。勿論、その部門の固有の問題であればその部門でしか検出されない。
検出される問題が1箇所か複数個所かはあまり重要でない。決定的ではない。複数箇所は重大だが、1箇所なら重大でないと決めて掛かって安心は出来ないと言うことです。
ところで、
時々、部門名のほかに事務局を併記している所見を見かける。これが如何しても分かりません。この審査員は部門名(発見場所)の他に、事務局と記載することで何を説明しようとしているのでしょう?
まさか、部門固有の問題か共通の問題かを説明しているのではないでしょうね。
そうなると部門名の意味が全く変わってくる。誰が対策すべきかを指示していることになりかねない。立派な越権行為?
複数個所で同様の指摘がある場合に事務局と記載しているものもある。事務局への注意喚起をしているつもりだろうが冗談ではない。サンプリングでしかやってない審査では件数の多少によらず事務局は全てを精査せざるを得ない。
要は審査員が余計なノイズを入れてはいけないということ。
複数部門で同様の問題が検出された場合は、最初の部門名を書くか、幾つかを併記し、それを超える場合はその他で括れば充分だろう。
パソコンの適切な管理:アップデート(更新)
パソコンの適切な管理:アップデート(更新)
マイクロソフトWindowsのアップデート
マイクロソフトOfficeのアップデート
ウイルス対策ソフトの更新(プログラムの更新とウイルス低後ファイルの更新)
アドビの各種アプリケーション
BIOSアップデート
要は使っている全てのソフトウエア、ファームウエア、データ類の更新が確実に行える方法論gひつようになる。明確な手順が求められる。パソコンに限らない。サーバーも周辺機器も同様の考え方が求められる。脆弱性の管理。
マイクロソフトWindowsのアップデート
マイクロソフトOfficeのアップデート
ウイルス対策ソフトの更新(プログラムの更新とウイルス低後ファイルの更新)
アドビの各種アプリケーション
BIOSアップデート
要は使っている全てのソフトウエア、ファームウエア、データ類の更新が確実に行える方法論gひつようになる。明確な手順が求められる。パソコンに限らない。サーバーも周辺機器も同様の考え方が求められる。脆弱性の管理。
クラウド利用時のコンプライアンス
クラウド利用時のコンプライアンス
クラウド環境利用に関連して生じる法的問題・課題について日経に記事が出ている。(詳しい生地は日経電子版にあるのかな?)
要点は3つ。
クラウド環境利用に関連して生じる法的問題・課題について日経に記事が出ている。(詳しい生地は日経電子版にあるのかな?)
要点は3つ。
- コンテンツをクラウドに保存して利用する場合。そのサービスを提供する業者はコンテンツ(著作物)の複製権、公衆送信権を侵害していると見做される恐れがあるというもの。
- クラウド環境のグローバル利用の場合は、国家機密など国際的な平和や安全に関わるもの・技術の国際間取引では担当大臣の許可が必要とする外為法への抵触の懸念がある。大臣の許認可基準が明確でない。
- 個人情報をクラウド上で扱う場合(クラウド上でなくても同じですが)、EUのデータ保護指令のように個人情報保護水準をEU同等することを求められるなど、個人情報を海外に保管することへの制約がある。(個人情報保護については日本はEUより低水準とされている)
.*.
「ISMS」ではどうなるんでしょう?
① 直ぐに思い浮かぶのが、準拠法令の洗い出し。コンテンツサービス事業、クラウドの国際利用(海外クラウドの利用、海外からの国内クラウド利用)、個人情報管理でのクラウド利用などが事業・業務に収まる場合は適切に洗い出されていることですね。
② コンプライアンス違反とならないようにする規定・手順が明確にされていること。これは難しい。特にコンテンツサービスに絡むところは、著作権を持っているコンテンツかどうかはサービス業者からは分からないから。利用規約で健全な利用義務を入れてその内容として著作権法あるいは公衆送信法?に抵触しないことを求めておく必要がある。しかし、やりすぎると利用者が現れなくなるだろうから容易ではない。
.*.
グッドポイントを多発させる審査員
グッドポイントを多発させる審査員
グッドポイントを多発させる審査員を希に見かける。困ったものです。
規格違反は比較的明確ですが、何がグッドか何がエクセレントかは相対的要素が大きくて明確でないことが多いからです。また言えばAさんにとって良いやり方がBさんにとっても良いやり方かどうかは全く分かりません。
その辺は落合博満のベストセラー「采配」にも要領よく記載されている。面白いものだ。
何も課題が見つけられずに書くことが無くて、しようがないから適当にグッドポイントでも書いたり、スタッフのやる気を引き出すためのご褒美的なグッドポイントを書いたり。もっとも指摘が無ければ無いで済ます普通の(健全な)審査員も居るようです。
.*.
グッドポイントを多発させる審査員を希に見かける。困ったものです。
規格違反は比較的明確ですが、何がグッドか何がエクセレントかは相対的要素が大きくて明確でないことが多いからです。また言えばAさんにとって良いやり方がBさんにとっても良いやり方かどうかは全く分かりません。
その辺は落合博満のベストセラー「采配」にも要領よく記載されている。面白いものだ。
何も課題が見つけられずに書くことが無くて、しようがないから適当にグッドポイントでも書いたり、スタッフのやる気を引き出すためのご褒美的なグッドポイントを書いたり。もっとも指摘が無ければ無いで済ます普通の(健全な)審査員も居るようです。
.*.
バックアップメディアの管理要
バックアップメディアの管理要件
システムサイズが大きくなる一方ですからメディアにバックアップを取ることは少なくなった。それでもシステム直結のストレージでは電気的ショックで消失する懸念がゼロにならない。だからミニマムのところでメディアにもバックアップを取る。
復元できることが基本要件
復元できるには、再読み込みできること。読み込んだデータを受け止めるシステムが存在すること。
メディアの素性が明確であること。何が入っているのか。記録データが特定できること。抜け漏れが生じていないことが確認できること。
同じメディアを何度も書き換えて使用する場合は基本レベルの日常管理も重要。物理的破損も含めて。
そのメディアはいつまで利用するか、今の内容はいつ記録されたものか、今必要なバックアップメディアに合致するか(抜け漏れは無いか)、復元テストはいつ実施されたか(期日のほかにシステムバージョンも)、などキリが無い。
システムサイズが大きくなる一方ですからメディアにバックアップを取ることは少なくなった。それでもシステム直結のストレージでは電気的ショックで消失する懸念がゼロにならない。だからミニマムのところでメディアにもバックアップを取る。
復元できることが基本要件
復元できるには、再読み込みできること。読み込んだデータを受け止めるシステムが存在すること。
メディアの素性が明確であること。何が入っているのか。記録データが特定できること。抜け漏れが生じていないことが確認できること。
同じメディアを何度も書き換えて使用する場合は基本レベルの日常管理も重要。物理的破損も含めて。
そのメディアはいつまで利用するか、今の内容はいつ記録されたものか、今必要なバックアップメディアに合致するか(抜け漏れは無いか)、復元テストはいつ実施されたか(期日のほかにシステムバージョンも)、などキリが無い。
電子メールの管理策
電子メールの管理策
電子メールにファイルを添付するときに、重要度に応じて保護策(暗号化?)を要求する話を聞く。愚かしい。重要度の判断くらいいい加減なものは無い。
判断させてはいけない。
添付文書は自動的に暗号化されるべき。そういうシステムも世間にはあるらしい。パスワードは自動的に発信者に届けられる。もっとも、費用が掛かるのが玉に瑕だろう。
.*.
平文(メッセージ文書)に重要事項が記載されては意味が無い。会社で決めた重要キーワードが平文の中に入っていたら警告するシステム(メールセキュリティサーバー)が有ってもおかしくない。
添付文書に目が行きがちだが、平文のテキストは誰でも読むことができるので、もっと注意してよい。
悪意を持つ連中も、キーワードでメールを張っているに違いない。
.*.
キーワードチェックは添付文書に対しても行うべきだ。悪意が無くても勘違いで重要文書やエクセルシートが送信されるケースもある。確実でないからキーワードが自動的に面手される仕組みもほしい。
.*.
送信先の事前登録
部門、業務、担当によって日常的にメールのやり取りをする相手は決まっている。それを登録させる。自動登録の仕組みを作っておけばよい。新たに追加するときは必ず確認メッセージが出る。OKなら登録される。
このログは保管され、管理者はアクセスできる。
.*.
送信元の事前登録
特にフリーのメールアドレスからの受信を懸念する企業はそういうことをやっている。日立本社など。ドメイン名がco.jpなど企業ユーザーでなければ制約するやり方だ。スパムメール対策だろう。世の中のメールはフリーアドレスが主流になっていている今は施策の妥当性に疑問が残る。
スパム対策なら相手不特定メールを除外する方がよほど現実的だ。
ここでも自動登録の仕組みができてもおかしくない。受信者に受け入れの確認をするやり方だ。
.*.
ご送信はなかなか防げないが、メールアドレスと文中の宛名(単に名までもいいかな)を整合性チェックするのも一つだ。
.*.
電子メールにファイルを添付するときに、重要度に応じて保護策(暗号化?)を要求する話を聞く。愚かしい。重要度の判断くらいいい加減なものは無い。
判断させてはいけない。
添付文書は自動的に暗号化されるべき。そういうシステムも世間にはあるらしい。パスワードは自動的に発信者に届けられる。もっとも、費用が掛かるのが玉に瑕だろう。
.*.
平文(メッセージ文書)に重要事項が記載されては意味が無い。会社で決めた重要キーワードが平文の中に入っていたら警告するシステム(メールセキュリティサーバー)が有ってもおかしくない。
添付文書に目が行きがちだが、平文のテキストは誰でも読むことができるので、もっと注意してよい。
悪意を持つ連中も、キーワードでメールを張っているに違いない。
.*.
キーワードチェックは添付文書に対しても行うべきだ。悪意が無くても勘違いで重要文書やエクセルシートが送信されるケースもある。確実でないからキーワードが自動的に面手される仕組みもほしい。
.*.
送信先の事前登録
部門、業務、担当によって日常的にメールのやり取りをする相手は決まっている。それを登録させる。自動登録の仕組みを作っておけばよい。新たに追加するときは必ず確認メッセージが出る。OKなら登録される。
このログは保管され、管理者はアクセスできる。
.*.
送信元の事前登録
特にフリーのメールアドレスからの受信を懸念する企業はそういうことをやっている。日立本社など。ドメイン名がco.jpなど企業ユーザーでなければ制約するやり方だ。スパムメール対策だろう。世の中のメールはフリーアドレスが主流になっていている今は施策の妥当性に疑問が残る。
スパム対策なら相手不特定メールを除外する方がよほど現実的だ。
ここでも自動登録の仕組みができてもおかしくない。受信者に受け入れの確認をするやり方だ。
.*.
ご送信はなかなか防げないが、メールアドレスと文中の宛名(単に名までもいいかな)を整合性チェックするのも一つだ。
.*.
どれくらい重要?媒体(記録メディア)の管理
どれくらい重要?媒体(記録メディア)の管理
媒体、最近はもっぱらUSBメモリ。昔はフロッピーディスク。MO、CDR、DVD。最近は大容量の外付けHDDあるいはSSD。主にデータの受け渡しで利用します。
通常は内容は削除して保管します。しかも、施錠管理です。中が空っぽのメディア管理ってそんなに重要ですか?
員数管理も良くやりますが、勝手に行方不明になっていたら問題でしょうか。確かに、目的外の利用の可能性があるから勝手になくなるのは拙いでしょう。
メモリー系ストレージ系のものは携帯電話、デジカメ、音楽プレイヤーにもありますし、個人のUSBメモリーもあるわけで、悪意が働けば殆ど無力?
.*.
登録:
投稿 (Atom)
人気の投稿:月間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評... -
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混... -
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、... -
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務... -
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた... -
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所... -
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設... -
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規... -
JICQAの審査で困ったら?[ISMS] JICQA 日本検査キューエイ http://www.jicqa.co.jp/ .*. .*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*. Pre Audit Check Point...
人気の投稿:年間
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
-
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある... -
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
-
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
-
ISMS適用範囲の書き方 ISMSの認証をとって継続的に管理するなら、いっそ、規格を下敷きにする発想がある。既存の文書管理体系の整合上、メリットが無ければ電子的読み替え表をイントラネット内に実現した方が良いでしょう。 .*. 適用範囲定義書を作るときもある。別紙...
人気の投稿
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため... -
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
-
ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700... -
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件... -
名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50... -
嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...