ビジタープロファイル
<ビジタープロファイル>
サイト訪問者のドメイン情報です。
多くは検索サイト経由ですが、プロバイダー経由、組織からの直接アクセスもあります。
.*.
シニアな本音のトーク。常識の非常識。非常識の常識。目から鱗。
.*.
ビジター=ドメイン=組織
組織が課題を持てば動きが出る。課題を認識した組織という場には流れ=アクションがおきる。と言うことは、課題をセンスする場として組織は作られていなければいけない。どの程度の感性を持った場かによってアクションのおき方は変わる。
組織課題をどのように認識できるかがその組織の命運を決める。
.*.
フェイスブックのセキュリティリスク事例:オランダ少女の誕生パーティ暴動
オランダの少女(16歳)が誕生日の案内をフェイスブックで送るのに、友達と間違えて一般公開で送ってしまった。多分、時間、場所などプライベートな情報も載せているだろう。多くの若者(数千人?)が少女の家に集まり、一部は暴徒化して大騒ぎになった。警察は騒ぎを懸念し、少女と家族は事前に避難していたとのことだ。
これがSNSの怖さの一つ。
今のフェイスブックでは流出した情報はシェアとかすることでどんどん広がる仕組みに成っている。普通のウエブサイトの欠点と同じ特性でSNSとしてのよさがない。共有・公開・オープンは正義と信じ込んでいる主催者の愚かさの一つが現れた格好だ。
.*.
取り消し機能。記憶されない権利の実現。追い掛け消去機能。
やろうと思えばSNSなら出来ることだが、やればSNSの優れた特徴として評価されるが、そのことに対する取り組みについては何も情報が示されない。
この閉鎖性が問題なのだ。FBはオープン化のためのツールと主張しているが、その中身はクローズそのもの。
ISMS的に見れば、こんなあやふやなツールを業務インフラに仕立てることは無理がある。
オランダ少女の事件も流出した誕生パーティ情報だが、会社情報の場合は、更に深刻になるかもしれない。
.*.
アップルとサムスンの特許紛争
アップルとサムスンの特許紛争
アップルとグーグルの代理戦争とも言われている。
アップルが作り出したスマートフォン。ほかが真似をしたのは間違いない。ここに市場があると分かって乗り出したのだから。商品と市場を開発したのはアップル。他社は一定のリスペクトを払う必要がある。それが仁義。
.*.
ISMSでは?
事業継続リスクがあります。端末が市場から退出すると、それを前提とした業務アプリに修正を迫られるかもしれません。しかし、利用者が直接リスクに晒されることは希。善意の第3者ですから、訴訟が直接及ぶ可能性はありません。ただ長期計画は修正する必要が出かもしれません。
.*.
アップルとグーグルの代理戦争とも言われている。
アップルが作り出したスマートフォン。ほかが真似をしたのは間違いない。ここに市場があると分かって乗り出したのだから。商品と市場を開発したのはアップル。他社は一定のリスペクトを払う必要がある。それが仁義。
.*.
ISMSでは?
事業継続リスクがあります。端末が市場から退出すると、それを前提とした業務アプリに修正を迫られるかもしれません。しかし、利用者が直接リスクに晒されることは希。善意の第3者ですから、訴訟が直接及ぶ可能性はありません。ただ長期計画は修正する必要が出かもしれません。
.*.
iPhone5のセキュリティ
iPhone5のセキュリティ
アイフォンiPhoneの新型iPhone5が発売された。業務端末としている企業も少なくない。自由度は今一だが、アンドロイドのようにハッカーのターゲットに成ることが少ないので、それだけでもセキュアと言えるが、アップル側も更なるセキュリティ強化が図られている筈だ。
.*.
iPhone4/4Sで繋いできて、漸くiPhone5がリリースされた。しかし、開発力の非力さを露呈しただけかもしれない。もともと開発力が高い企業ではない。新しい技術に新しい意味づけをして商品化するのが得意な企業。
アップルは自らのコンピテンシーを履き違えている。最新技術が殆ど取り込められなかったことは明確にiPhone5は失敗プロダクト。サイズを変更しただけ。しかも横幅は同じまま。開発陣に大きな穴が開いたのだろう。外注で済ました部分の肩代わりは簡単でない。
セキュリティ技術も同様。指紋認証の技術を持つ企業を買収したらしい。商品化は未だ先になるだろう。業務用ならセキュリティアクセサリーとして使えるかもしれないが限定的だ。
カリスマが亡くなるとはこういうことなんだ。陳腐な改善を続ける能しかないのだ。法人ユーザーの声しか理解できなかったのかな。事務屋が作った新製品の典型事例になってしまった。
.*.
新しいチャレンジがなければリスクは少ない。馬鹿なことに、変化のないiPhone5だから逆に
セキュアとなる。iPhone4L(ロングバージョン)でも良かったかもしれない。
.*.
アイフォンiPhoneの新型iPhone5が発売された。業務端末としている企業も少なくない。自由度は今一だが、アンドロイドのようにハッカーのターゲットに成ることが少ないので、それだけでもセキュアと言えるが、アップル側も更なるセキュリティ強化が図られている筈だ。
.*.
iPhone4/4Sで繋いできて、漸くiPhone5がリリースされた。しかし、開発力の非力さを露呈しただけかもしれない。もともと開発力が高い企業ではない。新しい技術に新しい意味づけをして商品化するのが得意な企業。
アップルは自らのコンピテンシーを履き違えている。最新技術が殆ど取り込められなかったことは明確にiPhone5は失敗プロダクト。サイズを変更しただけ。しかも横幅は同じまま。開発陣に大きな穴が開いたのだろう。外注で済ました部分の肩代わりは簡単でない。
セキュリティ技術も同様。指紋認証の技術を持つ企業を買収したらしい。商品化は未だ先になるだろう。業務用ならセキュリティアクセサリーとして使えるかもしれないが限定的だ。
カリスマが亡くなるとはこういうことなんだ。陳腐な改善を続ける能しかないのだ。法人ユーザーの声しか理解できなかったのかな。事務屋が作った新製品の典型事例になってしまった。
.*.
新しいチャレンジがなければリスクは少ない。馬鹿なことに、変化のないiPhone5だから逆に
セキュアとなる。iPhone4L(ロングバージョン)でも良かったかもしれない。
.*.
付加価値審査から本質審査へ
付加価値審査から本質審査へ
営業が来て、審査員が来て、付加価値審査をやるという。一帯何をやるというのか。去年も一昨年も同じことを言っていた。お前ら、一体なにをやってくれるんだ。なんて、切れる必要は有りません。
期待以上のものをやってくれるって?。サプライズ審査なのか?。
10年以上も前から付加価値審査って良く聞くけど相変わらず。例えば、「事業にとってより有効であろう観点から審査いたします」って審査員ごときに事業に対する有効性の伝授を受けるのかね?。
余計なことを考えたり言ったりしないで、普通に規格適合性審査をしっかりやってくれ。
付加価値などといけしゃあしゃあ言う向きは鼻から信用できない。こんな審査機関、審査員は切ってしまいましょう。ウン?何処の審査機関も言っているって?。だったらISMSなんか止めてしまおう。
.*.
問題の本質を突き止めた所見
これこそがわれわれの求める所見。色々な現象をとらえて、本質に楔を打つ。
多くの場合、経営者にとって厳しい指摘になる。
ところが審査員と来たら、いいこぶりっこ。嫌なことは言わない。当たり障りのない表面的な指摘をして済ませる。困ったものだ。
.*.
営業が来て、審査員が来て、付加価値審査をやるという。一帯何をやるというのか。去年も一昨年も同じことを言っていた。お前ら、一体なにをやってくれるんだ。なんて、切れる必要は有りません。
期待以上のものをやってくれるって?。サプライズ審査なのか?。
10年以上も前から付加価値審査って良く聞くけど相変わらず。例えば、「事業にとってより有効であろう観点から審査いたします」って審査員ごときに事業に対する有効性の伝授を受けるのかね?。
余計なことを考えたり言ったりしないで、普通に規格適合性審査をしっかりやってくれ。
付加価値などといけしゃあしゃあ言う向きは鼻から信用できない。こんな審査機関、審査員は切ってしまいましょう。ウン?何処の審査機関も言っているって?。だったらISMSなんか止めてしまおう。
.*.
問題の本質を突き止めた所見
これこそがわれわれの求める所見。色々な現象をとらえて、本質に楔を打つ。
多くの場合、経営者にとって厳しい指摘になる。
ところが審査員と来たら、いいこぶりっこ。嫌なことは言わない。当たり障りのない表面的な指摘をして済ませる。困ったものだ。
.*.
公益通報者保護法
公益通報者保護法
内部告発を行ったものを保護するのが目的。
これまでも社会正義のために内部告発を行うものはいたが、場合によっては、会社側から懲罰的人事(左遷、冷や飯、別件解雇など)が行われることがあった。
これからは、そのような人事などを含む、告発者への報復は禁止される。馬鹿をやれば、更に告発を受ける。
会社の機密であっても、反社会的(刑罰がある重大な違法行為)であれば、外部に流出させることが出来ることになる。
合法的な情報流出。
(告発先)
労働法の一環の位置づけ。保護されるのは労働者のみ。
いい加減な法律なのかな?
内部告発を行ったものを保護するのが目的。
これまでも社会正義のために内部告発を行うものはいたが、場合によっては、会社側から懲罰的人事(左遷、冷や飯、別件解雇など)が行われることがあった。
これからは、そのような人事などを含む、告発者への報復は禁止される。馬鹿をやれば、更に告発を受ける。
会社の機密であっても、反社会的(刑罰がある重大な違法行為)であれば、外部に流出させることが出来ることになる。
合法的な情報流出。
(告発先)
- 社内。しかし、内部告発を内部に行うのは誰が考えても無理がある。
- 警察など。
- 消費者団体など。
労働法の一環の位置づけ。保護されるのは労働者のみ。
いい加減な法律なのかな?
.*.
ISMSの関連?
コンプライアンス違反に関連する情報の取り扱いの有無は、リスクアセスメントなどISMSサイクルの中で洗い出されなければいけない。
違法なデータ収集の有無など。
この法律が直接ISMSに関連することはなさそうだが、通報情報(誰がいつ何をどこへ通報したかなど)の取り扱いに特別なものがあれば、コンプライアンス違反の可能性を含め注意を要する。
この法律が直接ISMSに関連することはなさそうだが、通報情報(誰がいつ何をどこへ通報したかなど)の取り扱いに特別なものがあれば、コンプライアンス違反の可能性を含め注意を要する。
.*.
ユーザーセキュリティモジュール
ユーザーセキュリティモジュール
ユーザーセキュリティモジュール~クライアントセキュリティモジュール
セキュリティモジュールの実装機能
セキュリティモジュールの機能
このソフトウエアは何を実装するか?
ユーザーセキュリティモジュール~クライアントセキュリティモジュール
セキュリティモジュールの実装機能
セキュリティモジュールの機能
このソフトウエアは何を実装するか?
- パスワード
- 電子印鑑
- 電子証明書
- ログイン
- ロール
- 暗号化機能
- ハッシュ機能
- 署名機能
.*.
ITサービス改善計画
ITサービス改善計画
ノーアイデアです。
ノーアイデアです。
- SLA
- サービスレベル目標(SLO)
- サービスレベル要件(SLR)
定量化した管理のほかに、ユーザーの声などによるレベル評価、ユーザーの生産性改善による評価など、複眼的なアプローチも必要だ。多分。
.*.
トランク(幹)とブランチ(枝)
トランク(幹)とブランチ(枝)
さっぱり。
バージョン管理における概念、または手法とされる。
変更を行った場合に何処まで影響するか。あるいは影響が及ばないように切り分ける考え方。単なる発想の問題化、具体的な手法にまで落ちているのか分かりません。
リリースの改修・デバッグにおいては特に重要な概念となるだろう。ソフトバンク系ファーストサーバーの事故も安全設計の基本に何か落ち度があったのではないか。
.*.
さっぱり。
バージョン管理における概念、または手法とされる。
変更を行った場合に何処まで影響するか。あるいは影響が及ばないように切り分ける考え方。単なる発想の問題化、具体的な手法にまで落ちているのか分かりません。
リリースの改修・デバッグにおいては特に重要な概念となるだろう。ソフトバンク系ファーストサーバーの事故も安全設計の基本に何か落ち度があったのではないか。
.*.
TickITplus
TickITplus
http://www.tickitplus.org/
なんのことやら。SW開発の品質保証に関する複数の標準類(規格要求など)を一つに統合したもの。もしくはそういう統合させるような試み。かな?
世間で特に騒いでいないので、まだ出来てもいないか、広く受け入れられるものになっていないか。いずれにしても途上。でしょう。
.*.
http://www.tickitplus.org/
なんのことやら。SW開発の品質保証に関する複数の標準類(規格要求など)を一つに統合したもの。もしくはそういう統合させるような試み。かな?
世間で特に騒いでいないので、まだ出来てもいないか、広く受け入れられるものになっていないか。いずれにしても途上。でしょう。
.*.
ISO 15504、SPICE
ISO 15504
ソフトウェアプロセスのアセスメントのためのフレームワーク
Software Process Improvement Capability Determination (SPICE)
ソフトウェア開発工程
ウィキペディア
.*.
ソフトウェアプロセスのアセスメントのためのフレームワーク
Software Process Improvement Capability Determination (SPICE)
ソフトウェア開発工程
ウィキペディア
.*.
アジャイル、タイムボックス、イテレーション
タイムボックス
ある時間に可能な作業キャパシティのことかな。投入可能は工数のこと。小さい単位に分割できる。
イテレーション
反復型開発における1回の繰り返し。繰り返さない1回分?。スパイラルのサイズ?。返って分かり難いかな。分っていないからですが。
このイテレーションのサイズ(期間)とタイムボックスのサイズから、選択できる開発シナリオが決まってくるのかな。逆に発想すれば、開発シナリオを実現できるタイムボックスの設計(各種手配のこと?)とイテレーションのサイズ設計が必要になる。
.*.
ある時間に可能な作業キャパシティのことかな。投入可能は工数のこと。小さい単位に分割できる。
イテレーション
反復型開発における1回の繰り返し。繰り返さない1回分?。スパイラルのサイズ?。返って分かり難いかな。分っていないからですが。
このイテレーションのサイズ(期間)とタイムボックスのサイズから、選択できる開発シナリオが決まってくるのかな。逆に発想すれば、開発シナリオを実現できるタイムボックスの設計(各種手配のこと?)とイテレーションのサイズ設計が必要になる。
.*.
トレーサビリティマトリックス
トレーサビリティマトリックス
サイトの説明を読んでいると返って分りづらい。期待している答えが無いからか。
顧客の言葉、企画の言葉、開発の言葉、・・・。
求めたものが得られているかを確認する手法の一つ。
テスト段階だけで使うものではない。企画断、開発段階でも利用できる。
要件/要求を展開し、それがスペック、実装において正しく受け止められているかを確認するための、マトリクス表。
サイトの説明では、最近ではテストで利用されることが多いみたいだ。その場合は、テストツールの一つとなる。
実際は企画や開発設計のレビューに使うことも多い。というか、以前はこちら(上流プロセス)がメインだったらしい。
.*.
サイトの説明を読んでいると返って分りづらい。期待している答えが無いからか。
顧客の言葉、企画の言葉、開発の言葉、・・・。
求めたものが得られているかを確認する手法の一つ。
テスト段階だけで使うものではない。企画断、開発段階でも利用できる。
要件/要求を展開し、それがスペック、実装において正しく受け止められているかを確認するための、マトリクス表。
サイトの説明では、最近ではテストで利用されることが多いみたいだ。その場合は、テストツールの一つとなる。
実際は企画や開発設計のレビューに使うことも多い。というか、以前はこちら(上流プロセス)がメインだったらしい。
.*.
ハドゥープインタフェースを改善した米ハピルスの成果
ハドゥープインタフェースを改善した米ハピルスの成果
ビッグデータ処理のためのアマゾン・クラウド利用技術「ハドゥープ」インタフェースを改善した米ハピルスがもたらす成果は?
日本人ベンチャーということで注目されている米ハピルス。この技術により、クラウド利用が進み、ビッグデータへのチャレンジも進むことが期待される。
何が起きるだろう?
充分に混沌としていて大丈夫だろうと思っていたことが、大丈夫でなくなる。想定外の会席が進む結果、何かが、丸裸になるのです。
布をまとって充分に人の目から遮蔽されていたはずなのに、ある日、あなたは丸裸で立たされているのです。
犯罪者も脅かされます。
充分に自分を隠蔽したつもりが、瞬く間に、逮捕されてしまいます。
.*.
ハドゥープ
ハピルス
.*.
ビッグデータ処理のためのアマゾン・クラウド利用技術「ハドゥープ」インタフェースを改善した米ハピルスがもたらす成果は?
日本人ベンチャーということで注目されている米ハピルス。この技術により、クラウド利用が進み、ビッグデータへのチャレンジも進むことが期待される。
何が起きるだろう?
充分に混沌としていて大丈夫だろうと思っていたことが、大丈夫でなくなる。想定外の会席が進む結果、何かが、丸裸になるのです。
布をまとって充分に人の目から遮蔽されていたはずなのに、ある日、あなたは丸裸で立たされているのです。
犯罪者も脅かされます。
充分に自分を隠蔽したつもりが、瞬く間に、逮捕されてしまいます。
.*.
ハドゥープ
ハピルス
.*.
クリティカル・リスク領域
クリティカル・リスク領域
こんな言葉があるかどうか分からない。出鱈目です。雰囲気は伝わる。
<1>
金を扱う会社とかサービス。「絶対に」セキュアでないと困る。
<2>
医療分野。病院、医療器具、薬剤。一つ間違えば文字通り命取り。
<3>
原子力。放射能/放射線。ミスをしたら取り返しが付かない。基本的に手に負えないものを扱っている。
<4>
高緯度集積型の社会インフラ。なんのことでしょう。それがこけたら社会が著しく歪む。
<5>
国防、警察、裁判など国家安全保障に関連する機関。
.*.
こういう領域の仕事は本気でISMSをやらないといけない。審査機関などによる認証は必ずしも求めない。審査機関もリスクの一つだから。コンサルも同じだ。
助言(アドバイザリー)については、中に入れない資料も見せないで間接的に助言を貰う形、内部担当者を育成する観点からのコンタクトにとどめるのが良い。
.*.
こんな言葉があるかどうか分からない。出鱈目です。雰囲気は伝わる。
<1>
金を扱う会社とかサービス。「絶対に」セキュアでないと困る。
<2>
医療分野。病院、医療器具、薬剤。一つ間違えば文字通り命取り。
<3>
原子力。放射能/放射線。ミスをしたら取り返しが付かない。基本的に手に負えないものを扱っている。
<4>
高緯度集積型の社会インフラ。なんのことでしょう。それがこけたら社会が著しく歪む。
<5>
国防、警察、裁判など国家安全保障に関連する機関。
.*.
こういう領域の仕事は本気でISMSをやらないといけない。審査機関などによる認証は必ずしも求めない。審査機関もリスクの一つだから。コンサルも同じだ。
助言(アドバイザリー)については、中に入れない資料も見せないで間接的に助言を貰う形、内部担当者を育成する観点からのコンタクトにとどめるのが良い。
.*.
登録:
投稿 (Atom)
人気の投稿:月間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評... -
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混... -
bsi. Pointglobalログイン画面 『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』 https://pga.bsigroup.com/ ※ 情報セキュリティの審査はもはや最低レベル? 日本IBMの人が徐々に一線... -
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、... -
JICQAの審査で困ったら?[ISMS] JICQA 日本検査キューエイ http://www.jicqa.co.jp/ .*. .*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*. Pre Audit Check Point... -
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務... -
閑話休題ISMS https://shinshu.fm/MHz/88.86/ ラベル:閑話休題ISMS 日本のISMSはB審査機関が駄目にした。粗製乱造の結果は歪みとなり組織の成長を阻害している。経営者は傍観するだけだ。 Trend カテゴリー ...
-
案外理解されていない「フリーソフト」の管理策 フリーソフトに関する所見を記載するときに、規格項目のどれを適用するかで若干のやり取りがあった。いきなりそれは「A.12.5.4」と言い切った人が居た。「トロイの木馬」というキーワードが解説本(ISO17799)に記載されてい... -
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
人気の投稿:年間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
-
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
-
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設... -
審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある... -
自分はそんな大事な仕事をしていないから関係ないと思えばそれまで。だれがいつどのような意図を持つか分からないと思えば注意深くなれる。 > https://internet.watch.impress.co.jp/docs/news/1508514.html 個人のメールアドレス... -
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
人気の投稿
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規... -
クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため... -
ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件... -
名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50... -
嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...