情報システム部門のマネジメントポリシー
情報管理部門、情報統括部門、システム統括部門、情報セキュリティ統括部門、どれもこれも似たようなものです。厳密に言えば、そのコンセプトの本旨とするところは違いますが、実態は同じようなものです。
とりわけ、情報インフラの管理は必須要件ですから、経営陣の思いがどうあれ、企業内で最大のストレスを受け止めるしかありません。
情報システム部門に対する要求は矛盾の塊です。
超安定と超革新。
.*.
システム部門は保守的?
企業を知らない人の意見だろう。若しくは愚かな経営者に委ねた企業の姿だろう。絶えざるチャレンジに追い込まれるのが実態。予算不足、人材不足で、最高のシステムサービスを要求されて、パニック寸前。
勿論、運用サービスの現場は保守的スタンスを取る。当然のことだ。
新しいチャレンジは小規模な部門、子会社、関係会社で実験をしてからというのもある。
.*.
適正予算規模。これが問題です。金くい虫。システムは直ぐに陳腐化する。競争優位を維持するには貪欲に金を要求する。下手に計算式をつくってみても、投資回収前に次の投資を求められる。割が合いません。決して保守的なのでない。金が無いのだ。
.*.
時代は変わった。静的なインフラとして情報システム・情報ネットワークを捉える経営者はもういない。
いまや、情報インフラは事業の骨格そのものだ。
位置づけを明確にできなければ?恐らく人類の資源を無駄遣いしていることになるだろう。
.*.
クラウドvs.オンプレミスの混乱
クラウドvs.オンプレミスの混乱
言葉が勝手に踊るものだから初歩的なところで取り違えてわけが分からなくなる。
一般にクラウドとはインターネット環境、少し協議にすればWEB環境。ですが、クラウドコンピューティングといった瞬間に混乱が発生します。IT担当者でも。インターネットを利用したコンピューティング、WEBコンピューティングをクラウドコンピューティングと捕らえる場合です。これ自身が間違っているわけでは有りません。
しかし、クラウドコンピューティングとは仮想化技術と定義する場合も有ります。サービスを提供しているサーバーを特定しなくて良い技術?。そのサービスがWEBサービスである必然性はありません。サーバー利用(運用?)における仮想化技術。設備の増設縮小も容易とか。
物理的なサーバーハードウエアを特定しないサーバーパフォーマンスの提供技術?
社内専用システムをクラウド(仮想化技術)で実現しても構いません。もちろん、WEBサービスをクラウドで実現しても。
.*.
オンプレミスは別の概念。設備の自前化。そのサーバーが従来型の専用サーバーでも構いませんし、クラウド型でも構いません。もっともクラウド利用には一定の規模がないとメリットは出ないかもしれません。
自社設備か他社設備利用か。これがオンプレミスか否か。
設備に使われる技術がクラウドかどうかは別次元。
.*.
クラウドという言葉が独り歩きをしたがために余計な混乱をしてしまった向きはあちこちに結構いらっしゃるようです。
もっとも、時間の経過で意味が再定義されることもありますから、油断禁物という奴です。
整理するつもりが返って混乱してしまった。
.*.
言葉が勝手に踊るものだから初歩的なところで取り違えてわけが分からなくなる。
一般にクラウドとはインターネット環境、少し協議にすればWEB環境。ですが、クラウドコンピューティングといった瞬間に混乱が発生します。IT担当者でも。インターネットを利用したコンピューティング、WEBコンピューティングをクラウドコンピューティングと捕らえる場合です。これ自身が間違っているわけでは有りません。
しかし、クラウドコンピューティングとは仮想化技術と定義する場合も有ります。サービスを提供しているサーバーを特定しなくて良い技術?。そのサービスがWEBサービスである必然性はありません。サーバー利用(運用?)における仮想化技術。設備の増設縮小も容易とか。
物理的なサーバーハードウエアを特定しないサーバーパフォーマンスの提供技術?
社内専用システムをクラウド(仮想化技術)で実現しても構いません。もちろん、WEBサービスをクラウドで実現しても。
.*.
オンプレミスは別の概念。設備の自前化。そのサーバーが従来型の専用サーバーでも構いませんし、クラウド型でも構いません。もっともクラウド利用には一定の規模がないとメリットは出ないかもしれません。
自社設備か他社設備利用か。これがオンプレミスか否か。
設備に使われる技術がクラウドかどうかは別次元。
.*.
クラウドという言葉が独り歩きをしたがために余計な混乱をしてしまった向きはあちこちに結構いらっしゃるようです。
もっとも、時間の経過で意味が再定義されることもありますから、油断禁物という奴です。
整理するつもりが返って混乱してしまった。
.*.
CEO vs. CIO vs. CISO :ISMSは誰のもの?
CEO vs. CIO vs. CISO :ISMSは誰のもの?
他にもCで始まる略語の役員はたくさんありますから、情報系の役員だけ切り出すことにはあまり意味が無い。
ですが、
情報システム~情報管理は最大の金くい虫。企業体質を作る主戦場。ここは技術の変化が激しく、ベンダー視点、ユーザー視点、ともに高い専門性が要求される。
CIOは、だから、CEOから尊敬されるくらいの力量が必要だ。IT経験の無い「名ばかりCIO」では会社は混乱する。置かない方が良い。CIOはCEOより難しい。人材も少ない。依然は一線で使い物にならない人材が情報部門にまわされることが多かった。
CISOは情報セキュリティ担当役員。独立性あるいは牽制の観点からCISOを設置する企業がいるのには驚かされる。しかも、CIOと同格の役職として設定しているのだから、ままごとみたいな役員ごっこだ。
機能設計と役割体制は別。
CEO>CIO>CISO
人をアサインしたら当然こうなります。うん?
機能別に主管する役員を設定しても構いませんが、ISMSを導入するときは要注意。CIOが放置してきた領域が、ISMSのCISOでは明確な業務領域として入り込んできますから、それをもってCISOだけ責任領域を広げ、CIO責任領域を修正しないで置くといびつな管理体制になります。
.*.
他にもCで始まる略語の役員はたくさんありますから、情報系の役員だけ切り出すことにはあまり意味が無い。
ですが、
情報システム~情報管理は最大の金くい虫。企業体質を作る主戦場。ここは技術の変化が激しく、ベンダー視点、ユーザー視点、ともに高い専門性が要求される。
CIOは、だから、CEOから尊敬されるくらいの力量が必要だ。IT経験の無い「名ばかりCIO」では会社は混乱する。置かない方が良い。CIOはCEOより難しい。人材も少ない。依然は一線で使い物にならない人材が情報部門にまわされることが多かった。
CISOは情報セキュリティ担当役員。独立性あるいは牽制の観点からCISOを設置する企業がいるのには驚かされる。しかも、CIOと同格の役職として設定しているのだから、ままごとみたいな役員ごっこだ。
機能設計と役割体制は別。
CEO>CIO>CISO
人をアサインしたら当然こうなります。うん?
機能別に主管する役員を設定しても構いませんが、ISMSを導入するときは要注意。CIOが放置してきた領域が、ISMSのCISOでは明確な業務領域として入り込んできますから、それをもってCISOだけ責任領域を広げ、CIO責任領域を修正しないで置くといびつな管理体制になります。
.*.
全日空ANAの2013/02予約情報消失事故はISMS基本の欠落?
全日空ANAの2013/02予約情報消失事故はISMS基本の欠落?
全日空ANAはISMSの認証を取っていないのだろうか?
JIPDECの認証取得組織を検索してもなかなか出てこない。本当に取得していないんだろうか。認証取得していなくても実質的に取り組んでいれば問題ないが実態が崩れているから困る。公益企業の一つで、情報管理の比重は小さくないのに、どういうことだろう。経営陣も無責任ではないか?。個人情報保護法への対応だけでお茶を濁して済ます腹なら失格だな。
全日本空輸のサイトを見てもISMSに関する記述は見当たらない。変わりにプライバシーポリシーを覗いてみた。個人情報の開示請求は有料設定だ。500円。ちょっと確認したいときでも500円は高い。誰もが全日空並みの給料をもらっているわけではない。人の情報を都合でしかも無料で収集しておいてその確認の時には500円も払えというのはお役所的だ。
ANAがISMSの認証も取得できないでいるなら、なおさら情報セキュリティの担当役員(CISOまたはCIO)は恥ずかしいだろう。予約システムの停止事件も記憶に残るが、ANAのシステム担当者は駄目だな。CIOは誰なんだ?。
システム関係は子会社に一切任せているから本体は知らないで通しているのかな。そうなると役割責任と権限の関係もゆがんでいる事になる。経営体の問題だ。
さて、
情報消失はきわめて初歩的に管理システムの欠陥だ。バックアップを取るのが常識。予約などという不連続に発生する情報の場合はリアルタイム性も要求される。ミラーリングとか。プラス、夜間バッチでの確保も。
2月分全部がずっこけるというのはありえない事故だ。
担当者が意図的に削除したとしか考えられない。
大いなる勘違いということか?
ログからの掘り起こしでも復旧できそうなものだが、ログ管理も中途半端だったわけかな。ログまで消していたら犯罪だからね。
いずれにしても外部からは分からない事情があるんだろう。
.*.
業務委託時にソフトウエアを貸与できるか?
業務委託時にソフトウエアを貸与できるか?
業務委託では、委託先にいろいろなものを貸与または支給することがある。要求スペックの詳細、開発または製造に際して注意すべきこと。
特定のパーツ支給や、特注となるツール類。
ソフトウエアやソフトウエアをインストールした環境まで支給することがある。
著作権を有するソフトウエアの場合は、自社開発ソフトウエア、あるいは著作権を有するソフトウエアの取り扱い規定に基づくことが求められる。この時は主に自社の著作権が侵害されないことが主眼となる。
他社の著作物であるソフトウエアを貸与する場合は他社の著作権を侵害しないことに注意することが必要。貸与の前にライセンス契約を確認しよう。事後にコンプライアンス違反が発覚したときに生じる損害の大きさを考えて必ず事前に確認すること。
会社の業務委託に関する規定の中でライセンス違反の有無を事前にチェックさせることを明記すべきだろう。
割と多いのは、大きな企業が内で買った方が安いからこちらから支給するケース。委託先利用がディスカウント対象になるかどうかは要チェック。
.*.
業務委託では、委託先にいろいろなものを貸与または支給することがある。要求スペックの詳細、開発または製造に際して注意すべきこと。
特定のパーツ支給や、特注となるツール類。
ソフトウエアやソフトウエアをインストールした環境まで支給することがある。
著作権を有するソフトウエアの場合は、自社開発ソフトウエア、あるいは著作権を有するソフトウエアの取り扱い規定に基づくことが求められる。この時は主に自社の著作権が侵害されないことが主眼となる。
他社の著作物であるソフトウエアを貸与する場合は他社の著作権を侵害しないことに注意することが必要。貸与の前にライセンス契約を確認しよう。事後にコンプライアンス違反が発覚したときに生じる損害の大きさを考えて必ず事前に確認すること。
会社の業務委託に関する規定の中でライセンス違反の有無を事前にチェックさせることを明記すべきだろう。
割と多いのは、大きな企業が内で買った方が安いからこちらから支給するケース。委託先利用がディスカウント対象になるかどうかは要チェック。
.*.
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2012」
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2012」
今年のISMSユーザー会セミナーの案内です。取り敢えず申し込んでおきました。場所は昨年と同じ新宿でクリスマス前の21日(金曜日)です。ボランティアの方々のご尽力に感謝したいです。
.*.
http://j-isms.jp/
.*.
(申し込み時の注意)
申し込み内容を記載して送信をクリックすると確認画面が出る。内容について一応の合理性チェックが行われて、問題なければまた送信クリックすれば申し込み完了。
ところがこのチェックがどうもいい加減なようだ。間違えていても受け付けてしまう。さらに悪いことにこの内容で受け付けたの確認メールが出ない。入力内容は画面上に一度表示されるだけ。直ぐに確認メールが出す手順にしたほうが不要なトラブルは回避できる。メールアドレスを(勘違いで)入力ミスしているとデッドロックに入る。事務局から連絡が何も無い場合、単に手順で遅れているのか、申し込みが拒絶されたのか、何らかのミスがあったのか暫し判断が付かない。
唯一の連絡手段であるメールアドレスをミスった時のフェールセーフの手順を作っておかないと駄目ですね。入力ミス(綴り、勘違い)、携帯メアド、フリーメアド。特に後者の2つはチェック画面でエラー扱いにすべきでしょう。
.*.
スマホ普及の昨今、またBYODへの試行が進む中では、メールアドレスの扱いは簡単ではない。硬直した施策では何処かの企業のように返ってIT化の足を引っ張りかねない。
.*.
今年のISMSユーザー会セミナーの案内です。取り敢えず申し込んでおきました。場所は昨年と同じ新宿でクリスマス前の21日(金曜日)です。ボランティアの方々のご尽力に感謝したいです。
.*.
http://j-isms.jp/
 |
|
| セミナー概要 |
| 日本ISMS ユーザグループ「情報セキュリティマネジメント・セミナー2012」を以下のとおり開催しますので、ご案内させていただきます。 本セミナーでは、日本ISMSユーザグループで検討を進めている、「情報セキュリティマネジメントシステム(ISMS)の実施・運用に関わるベストプラク ティス」を、利用者の視点から整理・検討した結果を報告します。具体的には、以下のプログラム(予定)のとおり、現在のISO/IEC JTC1/SC27のISMS関連規格の動向把握に加え、日本ISMSユーザグループメンバの実施経験をベースに、ISMS実施・運用に関わる課題を導出 し、主に運用管理、内部監査、及び有効性評価などの課題に焦点を絞った具体的な解決方法に関する検討内容を共有します。 |
| 開催概要 |
|
| プログラム |
| 資料は現在準備中です。(アップロード予定:セミナー開催5日前) |
| ||||||||||||||||||||||||||||||||||||||||
|
.*.
(申し込み時の注意)
申し込み内容を記載して送信をクリックすると確認画面が出る。内容について一応の合理性チェックが行われて、問題なければまた送信クリックすれば申し込み完了。
ところがこのチェックがどうもいい加減なようだ。間違えていても受け付けてしまう。さらに悪いことにこの内容で受け付けたの確認メールが出ない。入力内容は画面上に一度表示されるだけ。直ぐに確認メールが出す手順にしたほうが不要なトラブルは回避できる。メールアドレスを(勘違いで)入力ミスしているとデッドロックに入る。事務局から連絡が何も無い場合、単に手順で遅れているのか、申し込みが拒絶されたのか、何らかのミスがあったのか暫し判断が付かない。
唯一の連絡手段であるメールアドレスをミスった時のフェールセーフの手順を作っておかないと駄目ですね。入力ミス(綴り、勘違い)、携帯メアド、フリーメアド。特に後者の2つはチェック画面でエラー扱いにすべきでしょう。
.*.
スマホ普及の昨今、またBYODへの試行が進む中では、メールアドレスの扱いは簡単ではない。硬直した施策では何処かの企業のように返ってIT化の足を引っ張りかねない。
.*.
組織課題
(組織課題)
各組織にはISMS推進上の共通の課題と固有の課題があります。具体的な課題はその組織の状況を見ることでより明確になります。いつものコンサル、いつもの審査が見逃していることも含めて本当の経営課題を明らかにしたい。
組織の中の力学、組織環境の力学、この辺も捉えた大局観からの適切な助言を外部に求めることは有用です。経営者が内々に信頼できる個人に委託するのが最も適切だろう。ISMS探偵みたいなものです。
間違えても商売っ気のあるコンサルとか助言屋さんはいけません。ボランティア的なスタンスの人に頼むことです。好きに発言してもらうことが重要です。
.*.
各組織にはISMS推進上の共通の課題と固有の課題があります。具体的な課題はその組織の状況を見ることでより明確になります。いつものコンサル、いつもの審査が見逃していることも含めて本当の経営課題を明らかにしたい。
組織の中の力学、組織環境の力学、この辺も捉えた大局観からの適切な助言を外部に求めることは有用です。経営者が内々に信頼できる個人に委託するのが最も適切だろう。ISMS探偵みたいなものです。
間違えても商売っ気のあるコンサルとか助言屋さんはいけません。ボランティア的なスタンスの人に頼むことです。好きに発言してもらうことが重要です。
.*.
組織のISMS課題
組織のISMS課題
これは人の話をいくら聞いてもキリがありません。止めましょう。経営者からの支援要請があれば、ボランティアでお手伝いにいく。そんな感じですね。
.*.
日立のISMS
組織が大き過ぎる。セキュリティマネジメントは困難である。深刻な課題である。グループ企業、協力企業などを視野に入れれば一般的な対応では到底追いつかない。
専門組織による統治機能が末端までいきわたる仕組みが必須。セキュリティ憲法が日立内に必要。
日立グループに連なる誰か一人を捉まえて話を聞けば憲法の本質が見えてくるはずである。
日立のセキュリティポリシー
どうだろう?有言実行か今夜の白袴か。ベンダーとしてコンサルタントとしてアクティブに関わっているが日立自身はどのような状況にあるんだろう。
"日立社内"のセキュリティ事故
"日立社内"のセキュリティ事件
ネガティブメッセージを外に出さない仕組みもあるのでネット上では本当のことは分からない。顧客やパートナーを巻き込んだケースになれば表に出てくるものもあるだろうが、事例は少ない。
.*.
各事業部門、各グループ企業、各部門はそれぞれの業界それぞれの部門のセキュリティ要求を受ける。
.*.
KDDIのISMS
通信インフラサービス会社かな。
最大は可用性。完全性。機密性。難儀な会社ですな。
顧客情報も多い。どのように管理しているか気になります。
KDDIのセキュリティポリシー
"KDDI社内"のセキュリティ事故
"KDDI社内"のセキュリティ事件
.*.
これは人の話をいくら聞いてもキリがありません。止めましょう。経営者からの支援要請があれば、ボランティアでお手伝いにいく。そんな感じですね。
.*.
日立のISMS
組織が大き過ぎる。セキュリティマネジメントは困難である。深刻な課題である。グループ企業、協力企業などを視野に入れれば一般的な対応では到底追いつかない。
専門組織による統治機能が末端までいきわたる仕組みが必須。セキュリティ憲法が日立内に必要。
日立グループに連なる誰か一人を捉まえて話を聞けば憲法の本質が見えてくるはずである。
日立のセキュリティポリシー
どうだろう?有言実行か今夜の白袴か。ベンダーとしてコンサルタントとしてアクティブに関わっているが日立自身はどのような状況にあるんだろう。
"日立社内"のセキュリティ事故
"日立社内"のセキュリティ事件
ネガティブメッセージを外に出さない仕組みもあるのでネット上では本当のことは分からない。顧客やパートナーを巻き込んだケースになれば表に出てくるものもあるだろうが、事例は少ない。
.*.
各事業部門、各グループ企業、各部門はそれぞれの業界それぞれの部門のセキュリティ要求を受ける。
.*.
KDDIのISMS
通信インフラサービス会社かな。
最大は可用性。完全性。機密性。難儀な会社ですな。
顧客情報も多い。どのように管理しているか気になります。
KDDIのセキュリティポリシー
"KDDI社内"のセキュリティ事故
"KDDI社内"のセキュリティ事件
.*.
ISMSにおける中国リスク
ISMSにおける中国リスク
中国リスクをあげたらキリが無い。存在そのものがリスクだし、昨今の敵対的な出方を視野に置けば、一切合切がリスクに見えてくる。人も情報も早々に引き上げるべしだね。中国で儲けようなんて考えること自体がリスクだ。
中国人、中国資本、関連企業が近づいてきたら先ず身構えなければいけない。美味い話は危険な話。
中国という国のやり方は十分学習したでしょう。材料であれ、設備機器であれ、サービスであれ、資金・融資であれ、依存してはいけない。どういう事態でどういうとばっちりを受けるか分かったものではない。
各企業・各組織は自らが抱える中国リスクを早急に評価すべきだ。関連会社の中国リスクも押えておくことだ。
.*.
中国リスクをあげたらキリが無い。存在そのものがリスクだし、昨今の敵対的な出方を視野に置けば、一切合切がリスクに見えてくる。人も情報も早々に引き上げるべしだね。中国で儲けようなんて考えること自体がリスクだ。
中国人、中国資本、関連企業が近づいてきたら先ず身構えなければいけない。美味い話は危険な話。
中国という国のやり方は十分学習したでしょう。材料であれ、設備機器であれ、サービスであれ、資金・融資であれ、依存してはいけない。どういう事態でどういうとばっちりを受けるか分かったものではない。
各企業・各組織は自らが抱える中国リスクを早急に評価すべきだ。関連会社の中国リスクも押えておくことだ。
.*.
日本ISMSユーザーグループ(J-ISMS UG)
>
日本ISMSユーザーグループ(J-ISMS UG)
標準化部会 日本ISMSユーザグループ
ユーザーグループって感覚はどうかと思うがISMSの規格を利用活用しているという意味では立派なユーザーになります。そういう意味ではコンサルも審査機関もユーザーかな。
http://j-isms.jp/index.html
有意義な活動が広く公開されて賞賛に値します。今年も高齢の「情報セキュリティマネジメント・セミナー」が開催されます。201/12/21(金曜日)
まだ参加者募集案内は出ていませんが、事情が許せば参加してみたいものです。
- 遠隔操作ウイルス・ネットバンキングウイルスの話はスキップできないでしょうね。
- 隣国からのサイバー攻撃も無視できません。大手企業がメンバーに入っている当グループにとっては中国・韓国筋からの情報盗用は深刻ですから多いに啓蒙すべきです。特に中国は法的にも勝手が違いますから徹底した防戦に向けた施策を啓発すべきです。
- また中国の執拗な日本攻撃もISMS領域も含めたリスクとして検討を加える必要があります。中国企業との取引の有無、中国に組織の一部、即ち企業情報を置いていることによるリスク評価、事業継続関連のリスクなどについても考察が求められます。
- クラウドについては依然問題が残ったままです。信頼性問題もあればコンプライアンス問題も状況は変わっていません。
- 規格の次期バージョンの進捗と有効性についての議論も欠かせません。規格自体の問題と規格運用の問題をクリアにした議論が待たれます。
.*.
国家的損失を招いた新日鉄の情報セキュリティ水準
国家的損失を招いた新日鉄の情報セキュリティ水準
新日鉄がポスコを提訴した。新日鉄の元社員を使って企業の極秘情報を盗み出したからだ。この極秘情報はポスコから中国に盗み出されたようだ。新日鉄の極秘技術「方向性電磁鋼板」は40根二条かけて開発してきた超極秘情報。それを研究職社員が盗み出して売り払ったものと思われる。日本国家への大損失を招いたサラリーマン史上最低の社員だろう。いずれ実名なども公表され社会的制裁も加えられることになるだろう。
それにして、
新日鉄の情報セキュリティはどのようであったのか。超機密情報が易々と盗み出されたのではないだろうが、ポスコから盗んだ技術で作った商品が表に出てくるまで何も分からなかったなんて。セキュリティ管理体制が、そもそも拘置されていたのかどうかさえ怪しいものだ。ISMS認証などはどうでもいいが、実際にやることをやれなければ極秘情報も何もないだろう。ずさんな管理実態がもしあれば、裁判に勝つことさえできなくなる。
問題は本当に大きいのだ。裁判に買ったところで、流出した技術は戻らない。特許もとってなければひっくり返る。注意しろ!。中国のいんちき木牛は特許だけ世界のあちこちに申請しているだろう。新幹線技術さえ、自分たちのものだと言い張って特許取得に動き出す国なんだ。
.*.
ISMS?これは絶対に必要。認証取得はどうでもいいです。コンサルとか審査員に機密情報をさらす必要はない。彼は認証取得のノウハウには長けていても本当のセキュリティ技術に長けているわけでないし、そもそも何の責任能力も持っていない。
社内にISMSの専門家がいなければ、しかし、外部の力を借りるのは止むを得ない。商売っ気の多い、コンサルファームや審査機関は捨てて、純粋なセキュリティアドバイザー(経験のあるボランティア)の意見を聞いてみることだ。
セキュリティが甘いと国家の損失ということをしっかり理解すべきだ。その企業・団体だけの問題では済まないのだ。
懲罰的活動(提訴)もしっかりやらなければいけない。問題を(ソフトバンクのように)闇から闇に葬るようではいけないのです。
.*.
新日鉄がポスコを提訴した。新日鉄の元社員を使って企業の極秘情報を盗み出したからだ。この極秘情報はポスコから中国に盗み出されたようだ。新日鉄の極秘技術「方向性電磁鋼板」は40根二条かけて開発してきた超極秘情報。それを研究職社員が盗み出して売り払ったものと思われる。日本国家への大損失を招いたサラリーマン史上最低の社員だろう。いずれ実名なども公表され社会的制裁も加えられることになるだろう。
それにして、
新日鉄の情報セキュリティはどのようであったのか。超機密情報が易々と盗み出されたのではないだろうが、ポスコから盗んだ技術で作った商品が表に出てくるまで何も分からなかったなんて。セキュリティ管理体制が、そもそも拘置されていたのかどうかさえ怪しいものだ。ISMS認証などはどうでもいいが、実際にやることをやれなければ極秘情報も何もないだろう。ずさんな管理実態がもしあれば、裁判に勝つことさえできなくなる。
問題は本当に大きいのだ。裁判に買ったところで、流出した技術は戻らない。特許もとってなければひっくり返る。注意しろ!。中国のいんちき木牛は特許だけ世界のあちこちに申請しているだろう。新幹線技術さえ、自分たちのものだと言い張って特許取得に動き出す国なんだ。
.*.
ISMS?これは絶対に必要。認証取得はどうでもいいです。コンサルとか審査員に機密情報をさらす必要はない。彼は認証取得のノウハウには長けていても本当のセキュリティ技術に長けているわけでないし、そもそも何の責任能力も持っていない。
社内にISMSの専門家がいなければ、しかし、外部の力を借りるのは止むを得ない。商売っ気の多い、コンサルファームや審査機関は捨てて、純粋なセキュリティアドバイザー(経験のあるボランティア)の意見を聞いてみることだ。
セキュリティが甘いと国家の損失ということをしっかり理解すべきだ。その企業・団体だけの問題では済まないのだ。
懲罰的活動(提訴)もしっかりやらなければいけない。問題を(ソフトバンクのように)闇から闇に葬るようではいけないのです。
.*.
登録:
投稿 (Atom)
人気の投稿:月間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評... -
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混... -
bsi. Pointglobalログイン画面 『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』 https://pga.bsigroup.com/ ※ 情報セキュリティの審査はもはや最低レベル? 日本IBMの人が徐々に一線... -
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、... -
JICQAの審査で困ったら?[ISMS] JICQA 日本検査キューエイ http://www.jicqa.co.jp/ .*. .*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*. Pre Audit Check Point... -
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務... -
閑話休題ISMS https://shinshu.fm/MHz/88.86/ ラベル:閑話休題ISMS 日本のISMSはB審査機関が駄目にした。粗製乱造の結果は歪みとなり組織の成長を阻害している。経営者は傍観するだけだ。 Trend カテゴリー ...
-
案外理解されていない「フリーソフト」の管理策 フリーソフトに関する所見を記載するときに、規格項目のどれを適用するかで若干のやり取りがあった。いきなりそれは「A.12.5.4」と言い切った人が居た。「トロイの木馬」というキーワードが解説本(ISO17799)に記載されてい... -
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
人気の投稿:年間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
-
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
-
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設... -
審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある... -
自分はそんな大事な仕事をしていないから関係ないと思えばそれまで。だれがいつどのような意図を持つか分からないと思えば注意深くなれる。 > https://internet.watch.impress.co.jp/docs/news/1508514.html 個人のメールアドレス... -
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
人気の投稿
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規... -
クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため... -
ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件... -
名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50... -
嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...