2011年10月07日
ISMS適用範囲の書き方
ISMSの認証をとって継続的に管理するなら、いっそ、規格を下敷きにする発想がある。既存の文書管理体系の整合上、メリットが無ければ電子的読み替え表をイントラネット内に実現した方が良いでしょう。
.*.
適用範囲定義書を作るときもある。別紙です。なぜなら、非常に機密性の高い文書になるため、一般のISMSに織り込んで配布するわけには行きません。
ロケーション、レイアウト、物理的境界。管理境界線の強度を記載。壁か、単なるパーティションか、。ドアも施錠付きか、単なる式ドアか。電子錠か、物理キーか。監視カメラの所在。機密性が高いので、単に外部との境界線にとどめ、内部のセキュリティゾーニング(サーバールームとか特殊作業室などハイレベルセキュアゾーンの境界線設計)は更に別紙にする考え方もあります。境界線、ゾーニングの次は主要な情報資産のレイアウトを記載します。
技術的境界は、ネットワークの外部インタフェースについて、論理的及び物理的な状況(リスクと対応状況)を示す。外部のデータセンターなどを利用している場合、拠点が複数ある場合は、相互の接続状況も主要なリスクと対応状況とともに記載する。拠点内も、サーバールーム、無線LANアクセスポイント、特定プロジェクト用、外来者用などネットワークをセグメントしている場合は明記する。
通信ネットワーク以外に、電話線、電力線に付いてもケアしておく。定義書として記載しない場合は、何を参照すればよいかを理解しておく。落雷が多い地域などでは特に注意が必要。
ロケーションと技術的境界は相互関係が多いので、更新時に抜け漏れが出ないように工夫する。
組織は組織図全体と適用範囲に含まれる組織とを明確にする。外部の組織が入り込んで常駐しているケース、外部の組織に常駐しているケースは、取り扱いを明記すること。単に組織図だけで済ますことが多いが、セキュリティ上の特徴を記載する観点からは、特別なビジネスパートナー(親会社、グループ会社、業務提携先なども)も記載する。ビジネスプロセスアウトソースを利用する場合は特に留意する必要がある。
組織の特性の最大のものは人数。従業員の特性も。正社員、派遣社員、業務委託社員別に人数を抑える。交代勤務の場合は延べ数とシフト時の最大人数・最少人数・平均など。クライアント先にほぼ常駐し、月に数日だけ出社するケースなども明示する。但し、人数は常時変動する性格を持つため、いつ時点の人数かが明確にする。見直しは年1回がミニマム。毎月見直す会社が普通。人事は月次だから。
適用範囲の事業・業務。約款べーすでなく、実際に行っている(実態を伴う)事業・業務を出来るだけ正確に(過不足の無いように)記述する。何々に関する事業全般などとはやってはいけない。機能の表現(動詞的表現)は特に注意する。取り扱い品目の表現(名詞的表現)は「等(など)」で繋いでも構わない。しかしながら、大企業の場合はこういう努力は殆ど無理かもしれない。
事業上のセキュリティに関する特徴についても記載する。情報の特徴:機微情報の取り扱いの有無。事業の特徴:24時間サービスの有無。社会的責任の大きさ。
法規制。特に注意すべき法規制内容。重要な契約の存在。契約が求めている重要事項。
.*.
繰り返すことになるが、以上の一切詳細を適用範囲定義書に記載する必要は無いが、いきなり「××書」参照の形は取らないこと。最低限のサマリーは記載すること。適用範囲の全体の特徴が概略理解できる必要はある。
適用範囲定義書は毎年見直す。セキュリティ上の特徴が追記される。正しくメンテナンスすることにより、これを見るだけで何をしなければいけないか自明になる。筈です。
.*.
ISMSの認証をとって継続的に管理するなら、いっそ、規格を下敷きにする発想がある。既存の文書管理体系の整合上、メリットが無ければ電子的読み替え表をイントラネット内に実現した方が良いでしょう。
.*.
適用範囲定義書を作るときもある。別紙です。なぜなら、非常に機密性の高い文書になるため、一般のISMSに織り込んで配布するわけには行きません。
ロケーション、レイアウト、物理的境界。管理境界線の強度を記載。壁か、単なるパーティションか、。ドアも施錠付きか、単なる式ドアか。電子錠か、物理キーか。監視カメラの所在。機密性が高いので、単に外部との境界線にとどめ、内部のセキュリティゾーニング(サーバールームとか特殊作業室などハイレベルセキュアゾーンの境界線設計)は更に別紙にする考え方もあります。境界線、ゾーニングの次は主要な情報資産のレイアウトを記載します。
技術的境界は、ネットワークの外部インタフェースについて、論理的及び物理的な状況(リスクと対応状況)を示す。外部のデータセンターなどを利用している場合、拠点が複数ある場合は、相互の接続状況も主要なリスクと対応状況とともに記載する。拠点内も、サーバールーム、無線LANアクセスポイント、特定プロジェクト用、外来者用などネットワークをセグメントしている場合は明記する。
通信ネットワーク以外に、電話線、電力線に付いてもケアしておく。定義書として記載しない場合は、何を参照すればよいかを理解しておく。落雷が多い地域などでは特に注意が必要。
ロケーションと技術的境界は相互関係が多いので、更新時に抜け漏れが出ないように工夫する。
組織は組織図全体と適用範囲に含まれる組織とを明確にする。外部の組織が入り込んで常駐しているケース、外部の組織に常駐しているケースは、取り扱いを明記すること。単に組織図だけで済ますことが多いが、セキュリティ上の特徴を記載する観点からは、特別なビジネスパートナー(親会社、グループ会社、業務提携先なども)も記載する。ビジネスプロセスアウトソースを利用する場合は特に留意する必要がある。
組織の特性の最大のものは人数。従業員の特性も。正社員、派遣社員、業務委託社員別に人数を抑える。交代勤務の場合は延べ数とシフト時の最大人数・最少人数・平均など。クライアント先にほぼ常駐し、月に数日だけ出社するケースなども明示する。但し、人数は常時変動する性格を持つため、いつ時点の人数かが明確にする。見直しは年1回がミニマム。毎月見直す会社が普通。人事は月次だから。
適用範囲の事業・業務。約款べーすでなく、実際に行っている(実態を伴う)事業・業務を出来るだけ正確に(過不足の無いように)記述する。何々に関する事業全般などとはやってはいけない。機能の表現(動詞的表現)は特に注意する。取り扱い品目の表現(名詞的表現)は「等(など)」で繋いでも構わない。しかしながら、大企業の場合はこういう努力は殆ど無理かもしれない。
事業上のセキュリティに関する特徴についても記載する。情報の特徴:機微情報の取り扱いの有無。事業の特徴:24時間サービスの有無。社会的責任の大きさ。
法規制。特に注意すべき法規制内容。重要な契約の存在。契約が求めている重要事項。
.*.
繰り返すことになるが、以上の一切詳細を適用範囲定義書に記載する必要は無いが、いきなり「××書」参照の形は取らないこと。最低限のサマリーは記載すること。適用範囲の全体の特徴が概略理解できる必要はある。
適用範囲定義書は毎年見直す。セキュリティ上の特徴が追記される。正しくメンテナンスすることにより、これを見るだけで何をしなければいけないか自明になる。筈です。
.*.
新人は歩くセキュリティホール
受け入れ時のISMS教育の手順が可笑しい。新人のためにパソコンを用意しアカウントを用意し、セキュリティカードを用意し、さあ自由に使って下さいとやる。手順が前後していると、セキュリティ作法も見に付かないまま、会社の情報資産に自由にアクセスできる。危険なことこの上ない。
新卒社員:一番危ない。人事の連中が形ばかりの説明はやるが、ITスキルも低い連中の棒読み教育では心もとない。パソコン教室(ルーム)でしっかり作法を教えるべきだが、殆ど無理。
中途採用。社会常識もあるし、一気に採用される訳でないのでケアも行き届いて比較的対応は楽。
派遣社員。社会常識はあるが、部門採用のケースが多いので必ずしも管理は行き届かない。
業務委託:直接管理できないので難しい。契約と実態管理と両方で抑える必要がある。
い一時的な受け入れ:監査とか特別な業務のケースで発生。これは、限られた時間の中での対応、教育と言うよりアクセス設定などの準備や立会いなどで対応を余儀なくされる。
.*.
受け入れ時のISMS教育の手順が可笑しい。新人のためにパソコンを用意しアカウントを用意し、セキュリティカードを用意し、さあ自由に使って下さいとやる。手順が前後していると、セキュリティ作法も見に付かないまま、会社の情報資産に自由にアクセスできる。危険なことこの上ない。
新卒社員:一番危ない。人事の連中が形ばかりの説明はやるが、ITスキルも低い連中の棒読み教育では心もとない。パソコン教室(ルーム)でしっかり作法を教えるべきだが、殆ど無理。
中途採用。社会常識もあるし、一気に採用される訳でないのでケアも行き届いて比較的対応は楽。
派遣社員。社会常識はあるが、部門採用のケースが多いので必ずしも管理は行き届かない。
業務委託:直接管理できないので難しい。契約と実態管理と両方で抑える必要がある。
い一時的な受け入れ:監査とか特別な業務のケースで発生。これは、限られた時間の中での対応、教育と言うよりアクセス設定などの準備や立会いなどで対応を余儀なくされる。
.*.
履き違えてはいけない。トーマツ方式のリスクアセスメント。トーマツに迷惑を掛けてしまう。多分、方式の問題でなくて担当コンサルの問題でしょう。リスクアセスメントの負担を感じさせないように超単純化したサンプルを見せて説明を繰り返したのではないか。
世の中にそう都合よくマジックがある訳ではない。ラフにやればラフな結果が得られるだけですが、人間都合よく考えたいものです。自分の頭の仲に勝手にマジックを作っているんでしょうか。
トーマツ方式と言って済ませている審査員がいる。有効なリスクアセスメントに至っていなくても、トーマツ方式は一つの考え方なのだと嘯いて何の検証も無く通り過ぎていく。甘いものだ。
.*.
A部門がある。A部門と言うプロセスがある。丼の資産(a1,a2,a3,...)とレベル(A1)、丼の脆弱性(v1,v2,v3,...)とレベル(V1)、丼のリスク(r1,r2,r3,...)とレベル(R1)。R1の値が大きければ何か手を打ってV1を下げる。管理策と言う奴だ。少し気を利かせれば、これをCIA側面ごとにやるかな。評価作業の一環として、脆弱性を理解するための資産の状況を確認するが、この場合はあくまで丼(ドンブリ)だ。部内に有るか、電子化されているか、くらいでしょう。
誤用の一番の肝は、プロセスと資産と一体化。本来全く別のものを1つのものとして扱うこと。プロセスアプローチは本来資産洗い出しの方法論に過ぎない。
1部門に1人しかいなくて毎日同じような単純作業なら、1部門1プロセスでも何かが見えるだろうが、世間の実態は結構なことに複雑だ。プロセスをサブ・プロセスに分解して見て行くしかない。
では、何処まで細分化を繰り返すか。ISMSは単純というか親切と言うか、そこで悩む必要は無い。資産・資産価値と「管理策」の関連付けが明確になるところまで。勿論、その前提として、資産とリスクの関係を明確にするのが詳細分析。資産がグルーピングされることは構わない。
.*.
ベースライン方式の場合は必ずしも資産とリスクの関係を明確にしない。一括方式です。どう括るかが味噌だね。取り合えずカテゴリーとしておきます。属性区分でも構わない。管理策はカテゴリーあるいは属性に対して打つことになります。複数のカテゴリーあるいは属性を持つ場合はそれぞれの管理策が打たれることになります。簡単ですね。欠点は個別のリスクが理解されないままに進むこと。今一つの欠点は、カテゴリー内の最大リスクを想定すると言うこと。抜け漏れの懸念があるにもかかわらず全体としては過剰防衛になります。
もしプロセスに名前をつけることができるなら、プロセスという属性で一括りに資産と管理策を設定できる可能性があります。
.*.
初めて取り組む組織では、ベースライン方式でスタートします。
ラフなプロセス
ラフな資産・資産価値
ラフな資産属性・カテゴリー
カテゴリー別・属性別の管理策設定。(既に組織内あるいは世間の常識として実施されている内容です)
次に重要資産に関連するプロセスに注目して、
プロセスの分解
資産・資産価値
資産属性・カテゴリーの精査あるいは細分化
主要な脅威と脆弱性の理解
詳細カテゴリー、属性区分に応じた管理策の設定。
初期フェーズはここまで。ISMS認証取得準備段階の初期フェーズ。でも、このまま取得に入ってしまう組織もある。悲惨な例。認証を取って毎年審査でフォローされるようになると殆ど手直しは出来ない。一旦認証返上の覚悟でもなければ現状維持が関の山。
.*.
詳細リスク分析の導入は必須要件。推進スキームの中にこの手法を取り込んでおかないと必ず行き詰る。
詳細分析と言ってもやることは単純。重要な資産については、個別に脅威・脆弱性を洗い、リスクレベルを評価する。脆弱性を軽減する施策を導入する。必要ならリスク対応計画とする。(リスク対応計画はベースライン方式でも必要)
.*.
話をトーマツ方式(の誤用)に戻すと、詳細分析との連携が無いままにしておくと、ISMSのレベルを上げていく時に、リスクアセスメントの方法論が実質的に全く役立たずになり、二枚舌ISMSが出来上がってしまう。リスクアセスメントは無意味で、勝手に選択された施策だけを垂れ流す構図です。この施策は世間で問題になったような事例から判断して後追いで導入するもの。完全な後手管理です。
正しいトーマツ方式を導入するにはトーマツの本物のコンサルから時間を掛けて聞くべきです。
上滑りの見よう見まねでは返ってリスキーです。
.*.
世の中にそう都合よくマジックがある訳ではない。ラフにやればラフな結果が得られるだけですが、人間都合よく考えたいものです。自分の頭の仲に勝手にマジックを作っているんでしょうか。
トーマツ方式と言って済ませている審査員がいる。有効なリスクアセスメントに至っていなくても、トーマツ方式は一つの考え方なのだと嘯いて何の検証も無く通り過ぎていく。甘いものだ。
.*.
A部門がある。A部門と言うプロセスがある。丼の資産(a1,a2,a3,...)とレベル(A1)、丼の脆弱性(v1,v2,v3,...)とレベル(V1)、丼のリスク(r1,r2,r3,...)とレベル(R1)。R1の値が大きければ何か手を打ってV1を下げる。管理策と言う奴だ。少し気を利かせれば、これをCIA側面ごとにやるかな。評価作業の一環として、脆弱性を理解するための資産の状況を確認するが、この場合はあくまで丼(ドンブリ)だ。部内に有るか、電子化されているか、くらいでしょう。
誤用の一番の肝は、プロセスと資産と一体化。本来全く別のものを1つのものとして扱うこと。プロセスアプローチは本来資産洗い出しの方法論に過ぎない。
1部門に1人しかいなくて毎日同じような単純作業なら、1部門1プロセスでも何かが見えるだろうが、世間の実態は結構なことに複雑だ。プロセスをサブ・プロセスに分解して見て行くしかない。
では、何処まで細分化を繰り返すか。ISMSは単純というか親切と言うか、そこで悩む必要は無い。資産・資産価値と「管理策」の関連付けが明確になるところまで。勿論、その前提として、資産とリスクの関係を明確にするのが詳細分析。資産がグルーピングされることは構わない。
.*.
ベースライン方式の場合は必ずしも資産とリスクの関係を明確にしない。一括方式です。どう括るかが味噌だね。取り合えずカテゴリーとしておきます。属性区分でも構わない。管理策はカテゴリーあるいは属性に対して打つことになります。複数のカテゴリーあるいは属性を持つ場合はそれぞれの管理策が打たれることになります。簡単ですね。欠点は個別のリスクが理解されないままに進むこと。今一つの欠点は、カテゴリー内の最大リスクを想定すると言うこと。抜け漏れの懸念があるにもかかわらず全体としては過剰防衛になります。
もしプロセスに名前をつけることができるなら、プロセスという属性で一括りに資産と管理策を設定できる可能性があります。
.*.
初めて取り組む組織では、ベースライン方式でスタートします。
ラフなプロセス
ラフな資産・資産価値
ラフな資産属性・カテゴリー
カテゴリー別・属性別の管理策設定。(既に組織内あるいは世間の常識として実施されている内容です)
次に重要資産に関連するプロセスに注目して、
プロセスの分解
資産・資産価値
資産属性・カテゴリーの精査あるいは細分化
主要な脅威と脆弱性の理解
詳細カテゴリー、属性区分に応じた管理策の設定。
初期フェーズはここまで。ISMS認証取得準備段階の初期フェーズ。でも、このまま取得に入ってしまう組織もある。悲惨な例。認証を取って毎年審査でフォローされるようになると殆ど手直しは出来ない。一旦認証返上の覚悟でもなければ現状維持が関の山。
.*.
詳細リスク分析の導入は必須要件。推進スキームの中にこの手法を取り込んでおかないと必ず行き詰る。
詳細分析と言ってもやることは単純。重要な資産については、個別に脅威・脆弱性を洗い、リスクレベルを評価する。脆弱性を軽減する施策を導入する。必要ならリスク対応計画とする。(リスク対応計画はベースライン方式でも必要)
.*.
話をトーマツ方式(の誤用)に戻すと、詳細分析との連携が無いままにしておくと、ISMSのレベルを上げていく時に、リスクアセスメントの方法論が実質的に全く役立たずになり、二枚舌ISMSが出来上がってしまう。リスクアセスメントは無意味で、勝手に選択された施策だけを垂れ流す構図です。この施策は世間で問題になったような事例から判断して後追いで導入するもの。完全な後手管理です。
正しいトーマツ方式を導入するにはトーマツの本物のコンサルから時間を掛けて聞くべきです。
上滑りの見よう見まねでは返ってリスキーです。
.*.
電子メール利用は既にビジネスの基本。ですが、電子メール利用時のセキュリティに関するリスクの理解はビジネスの基本に至っていないようです。
<発信>
メールアドレスを間違える。A社とB社、A部門とB部門、AさんとBさん。社内と社外。タイプミスでの誤発信は殆ど無い。エラーで戻ってくる。誤発信は勘違いが殆ど。どういうチェック手順を設定しても勘違いしているから無意味。効果なし。
添付文書を間違える。これは多いね。勘違いもあるしうっかりもある。長いファイル名をフルで表示できない馬鹿なメーラーを使うと更に悲観的だ。ファイルのネーミングである程度の添付ミスは軽減できても防ぎ切れない。
正しいアドレス、正しい添付ファイルなら安心と信じている人もいます。インターネット世界へ飛び出したメールはただ黙って目的のメールボックスに吸い込まれると。途中に悪い人は居ないんでしょうか。勝手にコピーしたり、覗き見したり。サーバー間はSSLとかでセキュアな通信路が確保されているのでしょうか。
添付ファイルへのパスワードの掛け忘れ。機密レベルに応じてパスワードを要求したり、社外はパスワード要で社内は不要としたり。これが管理策と信じている組織があるから驚く。メール発信は間違い勘違いが手鎖を引いて待っているのだ。全ての添付文書は、出来れば自動的にパスワードを掛けて欲しい。そうしておけば、なまじ途中で覗き見されようとしても安心かな?
<受信>
関係先に成りすまして添付ファイルを送りつけてくる。開いてはいけません。
スパムメール。全社員となると企業は大変な損失。
.*.
いつの間にかJIPDECのサイトにセキュリティ関連の解説記事のような情報が公開されている。時々は目を通しておきたい。と言っても技術屋さんではないので簡単でないが。
.*.
技術系の企業へコンサルへ出掛けると、案外ですが、初歩的なことも理解していないことがある。問題意識が何処にあるかで大人が子供レベルになるのです。
.*.
<発信>
メールアドレスを間違える。A社とB社、A部門とB部門、AさんとBさん。社内と社外。タイプミスでの誤発信は殆ど無い。エラーで戻ってくる。誤発信は勘違いが殆ど。どういうチェック手順を設定しても勘違いしているから無意味。効果なし。
添付文書を間違える。これは多いね。勘違いもあるしうっかりもある。長いファイル名をフルで表示できない馬鹿なメーラーを使うと更に悲観的だ。ファイルのネーミングである程度の添付ミスは軽減できても防ぎ切れない。
正しいアドレス、正しい添付ファイルなら安心と信じている人もいます。インターネット世界へ飛び出したメールはただ黙って目的のメールボックスに吸い込まれると。途中に悪い人は居ないんでしょうか。勝手にコピーしたり、覗き見したり。サーバー間はSSLとかでセキュアな通信路が確保されているのでしょうか。
添付ファイルへのパスワードの掛け忘れ。機密レベルに応じてパスワードを要求したり、社外はパスワード要で社内は不要としたり。これが管理策と信じている組織があるから驚く。メール発信は間違い勘違いが手鎖を引いて待っているのだ。全ての添付文書は、出来れば自動的にパスワードを掛けて欲しい。そうしておけば、なまじ途中で覗き見されようとしても安心かな?
<受信>
関係先に成りすまして添付ファイルを送りつけてくる。開いてはいけません。
スパムメール。全社員となると企業は大変な損失。
.*.
いつの間にかJIPDECのサイトにセキュリティ関連の解説記事のような情報が公開されている。時々は目を通しておきたい。と言っても技術屋さんではないので簡単でないが。
.*.
技術系の企業へコンサルへ出掛けると、案外ですが、初歩的なことも理解していないことがある。問題意識が何処にあるかで大人が子供レベルになるのです。
.*.
5Sが出来なくてISMSもQMSもEMSも何もないでしょう。机の上や下に、思い切り資料類を置きっぱなしで何が管理かと。自分は忙しいと鼓舞するかのように積み上げている。上級職(マネジャー)はスペースが広い分、更に資料のゴミ山を積み上げる。
言い訳たくさん。
スペースが無い。業務で使っている。面倒。片付けは時間の無駄。別に外部の人が見る訳でなし。部屋全体がセキュリティゾーン。
なんだかんだと。
.*.
一事が万事とは良く効くが、片付けもいい加減な会社は仕事もいい加減でしょうね。
もっとも、目的と手段が転倒でも困る。所謂、片付け魔になるのも困り者だ。
.*.
それでは、「クリアデスク」とか「クリアスクリーン」って何のためにやるのか?
<機密性に関するリスク>
多様な部門が同居している。
外部の人が入ってくる。あるいは一定の距離まで近づける。外窓に近い。
人の出入りが多い。
外部人に清掃を依頼している。
保安要員(守衛・警備等)が室内に入ることがある。
ドア施錠忘れの可能性が残る。
協力会社と同居する。
ベンディングマシーンが設置されている。
<完全性・可用性に関するリスク>
共有資料の場合、決められた場所にないことによる不便。
資料の損失・紛失の早期検知でできない。
<その他>
スペースの無駄。
.*.
言い訳たくさん。
スペースが無い。業務で使っている。面倒。片付けは時間の無駄。別に外部の人が見る訳でなし。部屋全体がセキュリティゾーン。
なんだかんだと。
.*.
一事が万事とは良く効くが、片付けもいい加減な会社は仕事もいい加減でしょうね。
もっとも、目的と手段が転倒でも困る。所謂、片付け魔になるのも困り者だ。
.*.
それでは、「クリアデスク」とか「クリアスクリーン」って何のためにやるのか?
<機密性に関するリスク>
多様な部門が同居している。
外部の人が入ってくる。あるいは一定の距離まで近づける。外窓に近い。
人の出入りが多い。
外部人に清掃を依頼している。
保安要員(守衛・警備等)が室内に入ることがある。
ドア施錠忘れの可能性が残る。
協力会社と同居する。
ベンディングマシーンが設置されている。
<完全性・可用性に関するリスク>
共有資料の場合、決められた場所にないことによる不便。
資料の損失・紛失の早期検知でできない。
<その他>
スペースの無駄。
.*.
2011年10月04日
今風の発想をしてみたいと思いますが、そもそもコーチングの方法論すら理解していません。大枠理解のために本屋さんで立ち読みをしてみたいと思います。どんな書籍があるんでしょう?
[コーチング・書籍]
検索するとたくさんあって判別できない。まさにコーチングが必要なようですが。関心のあるコーチングのコンセプトは、1つはセルフ・コーチング。組織内であろうが単独であろうが、人生に真面目に対峙するときの方法論として有用。今1つは、マネジメントに対するコーチング。リーダーシップが発揮できない形式的なマネジメントからのブレークスルーの方法論として。両者は本質は同じだろうが、全社は自分問題として重要であり、後者は組織問題として重要。
[審査・経営者インタビュー(トップインタビュー)]
審査に経営者インタビューは付き物。コンサルが同席できるチャンスは多くは無いが全く無いわけでもない。見ていると、規格の経営者の責任の項目(5.1,5.2)に沿ったインタビューの例が多い。中には世間話が時間の大半と言うケースも。経営者自身が予期に計らえで、殆どスタッフ任せの場合はどうしても世間話が中心になる。
審査をあるいは経営者インタビューをどのように理解するかで、アプローチはかなり違うものになる。
規格をチェックリストに使って点検作業と思えば、経営者インタビュー(あるいは審査自体)は、質問による確認作業の景色になる。
確認作業(Q&A)を通しての体験作業、あるいは成長に向けた学習機会と思えば、コーチングの景色になる。
.*.
審査もコーチングも、答えを教えるコンサル作業ではない。適切な気付きを促すコーチングの要素が入ること自体は審査の付加価値として理解することも可能だろう。
ISMSに取り組む狙いは何か?
狙いは明確だったか?
当初の狙いは今も変わらないか?
なぜ変わらないのか?
狙いは達成できたか?
なぜ、達成したと判断できるのか?
達成度をどのように捕らえているか?
狙いを達成するために経営者として具体的に取り組んだことは何か?
不足の部分は何か?何が未達成か?
未達成の原因は理解しているか?
現状のレベルで満足しているか?
経営者として何をしようとしているか?
そのことをなぜ今までやらなかったのか?
そのことはなぜ今まで出来なかったのか?
事業課題とISMS課題に矛盾はありますか?
優先順位、手順はありますか?
経営者としての変革は何が必要か?
冒頭の質問例は問題提起の序章。現状認識、問題認識のリサーチ。気になるニュース、気になる業界動向でも、最近の社内訓示(古い!)とか全社員へのメッセージで配慮したことでも、情報関連投資でも構わない。イントロ、プロセスはどのようであれ、着地は変革の気付き。
注意すべきは、この変革は企業改革とか、プロセス改善とかの外向きのものではなく、経営者自身の自己変革のこと。経営者の行動が変わる必要があればそれは何かを気付くこと。そこが出発点で、自己変革無いままに企業のイノベーションを叫んでも誰も付いてこれない。多分、アクセルを踏みながらブレーキも踏んでいるから。孤独な経営者の陥りやすい状況に気付き、共感を踏まえ、共感を乗り越えた次のステージを開拓する「勇気」を与える。
.*.
[コーチング・書籍]
検索するとたくさんあって判別できない。まさにコーチングが必要なようですが。関心のあるコーチングのコンセプトは、1つはセルフ・コーチング。組織内であろうが単独であろうが、人生に真面目に対峙するときの方法論として有用。今1つは、マネジメントに対するコーチング。リーダーシップが発揮できない形式的なマネジメントからのブレークスルーの方法論として。両者は本質は同じだろうが、全社は自分問題として重要であり、後者は組織問題として重要。
[審査・経営者インタビュー(トップインタビュー)]
審査に経営者インタビューは付き物。コンサルが同席できるチャンスは多くは無いが全く無いわけでもない。見ていると、規格の経営者の責任の項目(5.1,5.2)に沿ったインタビューの例が多い。中には世間話が時間の大半と言うケースも。経営者自身が予期に計らえで、殆どスタッフ任せの場合はどうしても世間話が中心になる。
審査をあるいは経営者インタビューをどのように理解するかで、アプローチはかなり違うものになる。
規格をチェックリストに使って点検作業と思えば、経営者インタビュー(あるいは審査自体)は、質問による確認作業の景色になる。
確認作業(Q&A)を通しての体験作業、あるいは成長に向けた学習機会と思えば、コーチングの景色になる。
.*.
審査もコーチングも、答えを教えるコンサル作業ではない。適切な気付きを促すコーチングの要素が入ること自体は審査の付加価値として理解することも可能だろう。
ISMSに取り組む狙いは何か?
狙いは明確だったか?
当初の狙いは今も変わらないか?
なぜ変わらないのか?
狙いは達成できたか?
なぜ、達成したと判断できるのか?
達成度をどのように捕らえているか?
狙いを達成するために経営者として具体的に取り組んだことは何か?
不足の部分は何か?何が未達成か?
未達成の原因は理解しているか?
現状のレベルで満足しているか?
経営者として何をしようとしているか?
そのことをなぜ今までやらなかったのか?
そのことはなぜ今まで出来なかったのか?
事業課題とISMS課題に矛盾はありますか?
優先順位、手順はありますか?
経営者としての変革は何が必要か?
冒頭の質問例は問題提起の序章。現状認識、問題認識のリサーチ。気になるニュース、気になる業界動向でも、最近の社内訓示(古い!)とか全社員へのメッセージで配慮したことでも、情報関連投資でも構わない。イントロ、プロセスはどのようであれ、着地は変革の気付き。
注意すべきは、この変革は企業改革とか、プロセス改善とかの外向きのものではなく、経営者自身の自己変革のこと。経営者の行動が変わる必要があればそれは何かを気付くこと。そこが出発点で、自己変革無いままに企業のイノベーションを叫んでも誰も付いてこれない。多分、アクセルを踏みながらブレーキも踏んでいるから。孤独な経営者の陥りやすい状況に気付き、共感を踏まえ、共感を乗り越えた次のステージを開拓する「勇気」を与える。
.*.
2011年10月03日
「ISMSコーチング」という言葉はまだありません。昨今、俄かに注目を浴びるようになってきたコーチングという手法がISMSの世界でも有効だろうという理解で勝手に作ったものです。
コーチングの本来の意味は知らない。馬車を御して目的地に到達させること?御者を指導すること?
コーチング
ISMSコーチング
コーチングはコンサルティングとは違ってただ質問をするだけというユニークさも注目の理由。
落ちこぼれ組み、壁にぶつかった組、そういうどちらかと言えばネガティブな状況からの脱出のため指導?出来の良くない部下の指導?とかをコーチングと理解している向きも多いが、確かに似たような局面であることには違いあるまい。
質問を浴びせ、答えは相手側に求める。この手法の合理性はジャンプがない、地に足が着いていること。どんな質問を出されても自分が出来ることでなければ最後まで答え続けることは出来ない。要するに、解決の道筋を自ら発見するための質問を続けていくことになる。これは辛い旅になる。
j自分の価値観、価値観を形成した経緯までが、あぶり出されて来る。
.*.
ISMSは経営ツールの一つと理解すると、ISMSコーチングとは言ってみても、コーチングの領域は依然広いが、問題は捉えやすくなるのではないだろうか?
.*.
経営者インタビューと言うものが有る。審査のスタートに当たって、トップマネジメント自体の問題理解、満足度理解、課題理解、期待値理解を行うもの。経営者として妥当かどうかを確認していくわけだが、手法内容はコーチングそのものだ。但し、見ている限りでは規格条文を追う姿勢が強くて、経営者の脱皮の機会を適切に提供しているとは言い難い。
審査員は臆病と言うわけでも無いが、経営者に迫る姿勢は弱い。
.*.
コーチングの本来の意味は知らない。馬車を御して目的地に到達させること?御者を指導すること?
コーチング
ISMSコーチング
コーチングはコンサルティングとは違ってただ質問をするだけというユニークさも注目の理由。
落ちこぼれ組み、壁にぶつかった組、そういうどちらかと言えばネガティブな状況からの脱出のため指導?出来の良くない部下の指導?とかをコーチングと理解している向きも多いが、確かに似たような局面であることには違いあるまい。
質問を浴びせ、答えは相手側に求める。この手法の合理性はジャンプがない、地に足が着いていること。どんな質問を出されても自分が出来ることでなければ最後まで答え続けることは出来ない。要するに、解決の道筋を自ら発見するための質問を続けていくことになる。これは辛い旅になる。
j自分の価値観、価値観を形成した経緯までが、あぶり出されて来る。
.*.
ISMSは経営ツールの一つと理解すると、ISMSコーチングとは言ってみても、コーチングの領域は依然広いが、問題は捉えやすくなるのではないだろうか?
.*.
経営者インタビューと言うものが有る。審査のスタートに当たって、トップマネジメント自体の問題理解、満足度理解、課題理解、期待値理解を行うもの。経営者として妥当かどうかを確認していくわけだが、手法内容はコーチングそのものだ。但し、見ている限りでは規格条文を追う姿勢が強くて、経営者の脱皮の機会を適切に提供しているとは言い難い。
審査員は臆病と言うわけでも無いが、経営者に迫る姿勢は弱い。
.*.
私物のスマートフォンを業務に使うことは可能か?
携帯電話の場合、業務使うものは会社貸与の場合もあるが、会社によっては貸与されない。今時、携帯なしでは営業など外回りをメインとしなくても仕事にならないこともある。だから、私物を利用するケースが多い。貸与されていても私物を利用するケースもありうる。
スマートフォンも携帯電話の最初の状態と同じく、会社貸与の例はまだ少ない。結果的に、私物を利用するウォンツは高いだろう。
スマートフォンを携帯電話と理解するかパソコンと理解するかで対応も変わってくる。
先ず、会社の取り決めとして、スマートフォン(私物)利用について明確にしているなら従うこと。従うしかない。
スマートフォンの取り決めが無いけれど、携帯電話(私物)及びノートパソコン(私物)の利用についての取り決めがあるなら、その範疇での利用となる。ノートPCの場合は持ち込み禁止が昨今の常識。携帯電話は持ち込みは許可しても(家族などとの緊急連絡の可能性)業務利用は原則禁止のケースから、業務利用まで認めるケースと幅が広い。
しかし、スマホ(スマートフォン)が電話みたいなネーミングされていても、機能的にはPC相当レベルであることを踏まえれば、私物を許可無く業務利用に供することは適切でない。またスマホ利用はクラウドサービス利用と密接な関係にあるから、スマホ利用の過程で会社情報を個人的なクラウド利用環境に置く事になり責任上好ましくない。
上司の承認を得て利用するのが建前になる。遅れた?会社は私物であっても何を持って許可すればよいか理解していないので、殆どの場合、禁止するしかない。これが現状。何をなすべきか?
私物であっても重要な情報資産。これの受け入れ基準。利用基準。役割責任と懲戒について明確化を図ること。
.*.
[日本スマートフォンセキュリティフォーラム]
既にこう言った団体もあるようだ。
http://www.jssec.org/
.*.
携帯電話の場合、業務使うものは会社貸与の場合もあるが、会社によっては貸与されない。今時、携帯なしでは営業など外回りをメインとしなくても仕事にならないこともある。だから、私物を利用するケースが多い。貸与されていても私物を利用するケースもありうる。
スマートフォンも携帯電話の最初の状態と同じく、会社貸与の例はまだ少ない。結果的に、私物を利用するウォンツは高いだろう。
スマートフォンを携帯電話と理解するかパソコンと理解するかで対応も変わってくる。
先ず、会社の取り決めとして、スマートフォン(私物)利用について明確にしているなら従うこと。従うしかない。
スマートフォンの取り決めが無いけれど、携帯電話(私物)及びノートパソコン(私物)の利用についての取り決めがあるなら、その範疇での利用となる。ノートPCの場合は持ち込み禁止が昨今の常識。携帯電話は持ち込みは許可しても(家族などとの緊急連絡の可能性)業務利用は原則禁止のケースから、業務利用まで認めるケースと幅が広い。
しかし、スマホ(スマートフォン)が電話みたいなネーミングされていても、機能的にはPC相当レベルであることを踏まえれば、私物を許可無く業務利用に供することは適切でない。またスマホ利用はクラウドサービス利用と密接な関係にあるから、スマホ利用の過程で会社情報を個人的なクラウド利用環境に置く事になり責任上好ましくない。
上司の承認を得て利用するのが建前になる。遅れた?会社は私物であっても何を持って許可すればよいか理解していないので、殆どの場合、禁止するしかない。これが現状。何をなすべきか?
私物であっても重要な情報資産。これの受け入れ基準。利用基準。役割責任と懲戒について明確化を図ること。
.*.
[日本スマートフォンセキュリティフォーラム]
既にこう言った団体もあるようだ。
http://www.jssec.org/
.*.
米国ドット・フランク法(金融規制改革法)の中に盛り込まれた「紛争鉱物開示規定」は2012年から。紛争地域の鉱物資源の輸入はその資金が武装勢力・テロに流れている懸念があるため、米国上場企業は年次報告書に開示することが要求される。
商品に含まれる鉱物(資源)の原産地を明らかにするって、取引先に聞くしかないけど、先に先に聞いて行っても、果たして答えに辿り着けるかどうか怪しいものだ。
現在、対象としているのは、コンゴ民主共和国とその周辺9カ国で産出された「すず、タンタル、タングステン、金」の4鉱物。
要はこの地域から鉱物資源は買うな(金を渡すな)ということのようです。
.*.
米国上場企業でなくても、上記鉱物類の売り買いに絡む場合は、実質的に開示を要求されるので商社系、マテリアル系の企業は今から準備が必要になるのかな。
.*.
商品に含まれる鉱物(資源)の原産地を明らかにするって、取引先に聞くしかないけど、先に先に聞いて行っても、果たして答えに辿り着けるかどうか怪しいものだ。
現在、対象としているのは、コンゴ民主共和国とその周辺9カ国で産出された「すず、タンタル、タングステン、金」の4鉱物。
要はこの地域から鉱物資源は買うな(金を渡すな)ということのようです。
.*.
米国上場企業でなくても、上記鉱物類の売り買いに絡む場合は、実質的に開示を要求されるので商社系、マテリアル系の企業は今から準備が必要になるのかな。
.*.
中国からのサイバー攻撃が基幹企業に対して間断なく続けられている。三菱重工業1社で収まっているはずが無い。中国には官も民もないから、国を挙げてサイバー窃盗団といってもいいだろう。日本にある知識財産は何でも勝手に持ち出せばいいと考えている。全く価値観を異なる図体のでかい国だから困る。
情報窃盗団に対してISMSは有効か?
安易にスーパーユーザーを設定しないからアクセスフリーが限定される。一人ひとりが注意深くなる。組織を挙げて、情報漏えいに気を配ることで、不用意なサイバー窃盗団からは防御できる可能性は高まるだろう。
問題は形式主義のISMSではまったく無力ということ。経営者が裸の王様になっているような組織が認証を取得維持していても、有効とは言えない。経営者または経営者を補佐するコア・スタッフが本気のISMSに取り組む必要がある。
.*.
Cyber Terrorism
情報窃盗団に対してISMSは有効か?
安易にスーパーユーザーを設定しないからアクセスフリーが限定される。一人ひとりが注意深くなる。組織を挙げて、情報漏えいに気を配ることで、不用意なサイバー窃盗団からは防御できる可能性は高まるだろう。
問題は形式主義のISMSではまったく無力ということ。経営者が裸の王様になっているような組織が認証を取得維持していても、有効とは言えない。経営者または経営者を補佐するコア・スタッフが本気のISMSに取り組む必要がある。
.*.
Cyber Terrorism
2011年09月29日
JACO
日本環境認証機構
審査機関のひとつ。メーカー、主に電機労連系メーカーの寄り合いで作った機関では無かったか?。社長は電機メーカー出身者が持ちまわりか?。
企業の裾野が広いので事業的には不安はないが、身内あるいは取引先を審査するので、どうしても厳しいスタンスでの審査になる。一方で馴れ合いが入り込む余地がありそうだ。
JACO-IS
日本情報セキュリティ認証機構
ISMSを担当する別会社。今は存在しない。JACOの一つの部門になった。機能別に会社を分けていたが全体の効率を考えてか一体化に方針を変えたようだ。最初から無理だった。人事面を考慮して別会社にしていただけ。
.*.
厳しいスタンスが残るため、関連企業以外への展開は弱い。コンサルは面倒な審査を嫌うし、構築したシステムを否定されたら、自分の立場も失う。
大企業で程ほどの成功体験を持った人が審査をするので、押し付けに見えるのも災いしている。審査員の現職より、出身母体の肩書きの方がはるかに重要。だからオープニングでは経歴・職歴を丁寧に説明する人が多い。
審査と指導会が混在した印象になるため問題ありだが、発想を変えれば非常に有り難い審査を受けることが出来る。
かな?
.*.
日本環境認証機構
審査機関のひとつ。メーカー、主に電機労連系メーカーの寄り合いで作った機関では無かったか?。社長は電機メーカー出身者が持ちまわりか?。
企業の裾野が広いので事業的には不安はないが、身内あるいは取引先を審査するので、どうしても厳しいスタンスでの審査になる。一方で馴れ合いが入り込む余地がありそうだ。
JACO-IS
日本情報セキュリティ認証機構
ISMSを担当する別会社。今は存在しない。JACOの一つの部門になった。機能別に会社を分けていたが全体の効率を考えてか一体化に方針を変えたようだ。最初から無理だった。人事面を考慮して別会社にしていただけ。
.*.
厳しいスタンスが残るため、関連企業以外への展開は弱い。コンサルは面倒な審査を嫌うし、構築したシステムを否定されたら、自分の立場も失う。
大企業で程ほどの成功体験を持った人が審査をするので、押し付けに見えるのも災いしている。審査員の現職より、出身母体の肩書きの方がはるかに重要。だからオープニングでは経歴・職歴を丁寧に説明する人が多い。
審査と指導会が混在した印象になるため問題ありだが、発想を変えれば非常に有り難い審査を受けることが出来る。
かな?
.*.
ISO26000
これは社会的責任に関する規格。第三者認証制度の規格ではない。
自分で調べてください。
特に、コンプライアンスを担当する人はしっかり見ておくべきです。
大きな企業に求められる社会的責任は決して小さくないし、すれすれで運転していると企業イメージをスポイルして結果は大損害になりかねません。
国内と海外。両方に目配りが必要です。
それと、パートナー企業の動きも。ライフサイクル的な捉え方をしないと思わぬ責任追及を受けます。
このことは、自分が大企業でなくても結果はあまり変わりません。
大きな業界に組み込まれている以上は、仮に下請けでも、社会への説明責任は常に意識しておくべきことです。
.*.
これは社会的責任に関する規格。第三者認証制度の規格ではない。
自分で調べてください。
特に、コンプライアンスを担当する人はしっかり見ておくべきです。
大きな企業に求められる社会的責任は決して小さくないし、すれすれで運転していると企業イメージをスポイルして結果は大損害になりかねません。
国内と海外。両方に目配りが必要です。
それと、パートナー企業の動きも。ライフサイクル的な捉え方をしないと思わぬ責任追及を受けます。
このことは、自分が大企業でなくても結果はあまり変わりません。
大きな業界に組み込まれている以上は、仮に下請けでも、社会への説明責任は常に意識しておくべきことです。
.*.
ISO20000:2011
ISO20000の2011年改訂版。
あまり関心がありません。ISO20000なんて派生規格?、もどき規格?でしょうか。
業務用途別に最適化するのは当然だから、業界別ガイドラインは必要ですから、否定する理由はありませんが、第三者認証制度を生業とする連中の思惑の方が気になってしようが無い。
ISO27001では不足と言っているようなもので自己矛盾を感じる。
.*.
要はあれこれやるのが面倒なわけです。似て非なることをいろいろやれるのは規格を生業としている方々。一つの企業の中では軸はシンプルに。本来はQMSだけでいいはずなんです。それ以外の専門性については参考規格で十分。
軸を決めて、それに肉付けしていくアプローチの方が現実的。審査ビジネスに集ってくる連中を"必要以上に"設けさせることもありません。
.*.
ISO20000の2011年改訂版。
あまり関心がありません。ISO20000なんて派生規格?、もどき規格?でしょうか。
業務用途別に最適化するのは当然だから、業界別ガイドラインは必要ですから、否定する理由はありませんが、第三者認証制度を生業とする連中の思惑の方が気になってしようが無い。
ISO27001では不足と言っているようなもので自己矛盾を感じる。
.*.
要はあれこれやるのが面倒なわけです。似て非なることをいろいろやれるのは規格を生業としている方々。一つの企業の中では軸はシンプルに。本来はQMSだけでいいはずなんです。それ以外の専門性については参考規格で十分。
軸を決めて、それに肉付けしていくアプローチの方が現実的。審査ビジネスに集ってくる連中を"必要以上に"設けさせることもありません。
.*.
ラベリングについて
ファイリングは古くて新しい問題。誰でも出来るがこれ!っと言った物にはなかなか行き着けない。ラベリングはその要素の一つ。
バラバラにしてはいけないものはバインダーに綴じる。記録類の台帳、特定プロジェクトの一連の資料類は一塊にするためにバインダーに入れる。
ばらばらにしてもいいもの(資料の時間連続性などを要求しないもの)は、今後はバインダーへの綴じ込みは避ける。ファイルフォルダ、ファイルボックスを中心に利用する。
どちらかと言えば、過去情報はバインダー、現在情報はフォルダ/ボックスがメインになる。
ペーパー1枚1枚にラベルは普通は考えなくてよいが、取り出された時に正しく元の場所に戻れるように資料名(表紙、目次、ヘッダーとかフッターとか)が出来ていればいいでしょう。
ラベルは、バインダー、フォルダー、ボックスに記載される(貼り付けられる)ものです。電子ファイルの場合は、ファイル名あるいはフォルダー名ですが、電子ファイルの場合は属性情報が自動的に(勝手に)付与されるので別の問題が出ます。
.*.
具体的な事例
.*.
ファイリングは古くて新しい問題。誰でも出来るがこれ!っと言った物にはなかなか行き着けない。ラベリングはその要素の一つ。
- 属性情報の全てをラベルにすると視認性が落ちる。
- 収納場所を変えるとラベルも変えるのでは管理ロスが出る。
- 組織変更の度にラベルも変えるのではやはりロスだろう。
バラバラにしてはいけないものはバインダーに綴じる。記録類の台帳、特定プロジェクトの一連の資料類は一塊にするためにバインダーに入れる。
ばらばらにしてもいいもの(資料の時間連続性などを要求しないもの)は、今後はバインダーへの綴じ込みは避ける。ファイルフォルダ、ファイルボックスを中心に利用する。
どちらかと言えば、過去情報はバインダー、現在情報はフォルダ/ボックスがメインになる。
ペーパー1枚1枚にラベルは普通は考えなくてよいが、取り出された時に正しく元の場所に戻れるように資料名(表紙、目次、ヘッダーとかフッターとか)が出来ていればいいでしょう。
ラベルは、バインダー、フォルダー、ボックスに記載される(貼り付けられる)ものです。電子ファイルの場合は、ファイル名あるいはフォルダー名ですが、電子ファイルの場合は属性情報が自動的に(勝手に)付与されるので別の問題が出ます。
.*.
具体的な事例
- 機密性区分:この識別の無いラベリングは考えられません。機密情報であることが外部者にも容易に判別できないようにしたいと言うことと全く識別しないことは別の問題です。何を厳重に管理すべきかが判別できないのは論外です。社外にルールを教える必要はありませんが社内では周知されている必要があります。
- 管理日:管理開始日・管理終了日・管理見直し日などです。保管期限の場合は定義を明確にする必要があります。保管期限と廃棄処理の関係。
- ファイル名:出来るだけ具体的に。○○関連資料などは避ける。どうしても纏められない時は××等○○関連資料とする。
- 管理責任者:大括りの部門名は避ける。直接の担当部署(グループ、課、係りなど)と担当者名。間違っても部門長デートで済まさない。部門長が直接管理するもののみが部門長印で管理。
- その他は、管理コードなど文書管理規定が要求しているものがあれば記載。
- ラベルの色識別は視認性を高めるので非常に有用ですが、徹底するのが難しければ、モノクロで徹底するのも良い。意味も無く色を付けたり色を付けなかったりするのは歓迎できない。
- ラベル位置もいい加減なmのはいけない。保管状態でキャビネを開けたりした時に識別できる位置にラベルが付けられているべき。どこかに書いてあれば良いとするのはラベル付けの目的すら理解していない可能性がある。5Sの常識?。
- メディア類の保管も基本は同じでも、厄介な問題が残る。内容確認。1つは改竄されていないか、2つは再読み込み可能か。ラベリング自体の問題ではないが、ラベルは内容を表示している前提において内容との合致性をどのように担保するかが問題になる。管理上は結構手間です。
.*.
馬鹿な審査計画が出てくる理由?
審査中の移動計画は、限られた審査時間の中での移動が前提となるため、簡単ではないのだろうが、下手な組み方をされると、同行するコンサルにも良い迷惑だったりする。勿論、クライアントの事務局が同行するケースもあるから迷惑は2倍。
時には、「コンチハ・サヨナラ」のケースも。現地での審査時間が殆ど取れないということです。こんな審査計画もあるようで、移動計画以前の問題だ。クライアントからすると審査機関で承認された審査計画だから、嘘が入った計画を見て、審査機関そのものに不信感を持っても当然。審査計画のレビュー能力が低いというより、費用と工数に無理を重ねるから計画に矛盾(嘘)がでるのでしょう。
センスの問題もあるかな。
東京本社で、名古屋、大阪、福岡に支社。2チームで4地域をカバーする時に、1つは大阪・名古屋をカバーし、もう一つは東京・福岡をカバーするのが常識?。フライト利用は東京ー福岡間往復。ところが、名古屋・福岡で1チーム、東京・大阪で1チームとする。フライト利用は東京ー福岡間片道のみ。こういうのが出てくることがある。移動料金のミニマム化を考えたプランなら、東京・名古屋で1チームとしなければいけない。センスが悪い。審査計画を作成した審査員のセンスでなく、本末転倒に走る事務局のセンスが悪いのです。目的が経費節減に走った結果です。
何よりも、限られた時間の中で効率的に移動して、より適切な審査を実現することを考えるべきでしょう。
.*.
前者の例は、クライアント(経営者)が被害者。加害者は審査機関(営業?審査員?その他?)。
後者の例は、クライアント(経営者)が被害者。加害者はクライアント(事務局)。
.*.
審査中の移動計画は、限られた審査時間の中での移動が前提となるため、簡単ではないのだろうが、下手な組み方をされると、同行するコンサルにも良い迷惑だったりする。勿論、クライアントの事務局が同行するケースもあるから迷惑は2倍。
時には、「コンチハ・サヨナラ」のケースも。現地での審査時間が殆ど取れないということです。こんな審査計画もあるようで、移動計画以前の問題だ。クライアントからすると審査機関で承認された審査計画だから、嘘が入った計画を見て、審査機関そのものに不信感を持っても当然。審査計画のレビュー能力が低いというより、費用と工数に無理を重ねるから計画に矛盾(嘘)がでるのでしょう。
センスの問題もあるかな。
東京本社で、名古屋、大阪、福岡に支社。2チームで4地域をカバーする時に、1つは大阪・名古屋をカバーし、もう一つは東京・福岡をカバーするのが常識?。フライト利用は東京ー福岡間往復。ところが、名古屋・福岡で1チーム、東京・大阪で1チームとする。フライト利用は東京ー福岡間片道のみ。こういうのが出てくることがある。移動料金のミニマム化を考えたプランなら、東京・名古屋で1チームとしなければいけない。センスが悪い。審査計画を作成した審査員のセンスでなく、本末転倒に走る事務局のセンスが悪いのです。目的が経費節減に走った結果です。
何よりも、限られた時間の中で効率的に移動して、より適切な審査を実現することを考えるべきでしょう。
.*.
前者の例は、クライアント(経営者)が被害者。加害者は審査機関(営業?審査員?その他?)。
後者の例は、クライアント(経営者)が被害者。加害者はクライアント(事務局)。
.*.
間違いだらけの更新審査?
査の問題ではない。コンサルの問題です。コンサルが居ない場合は事務局の問題です。事務局が只の事務屋さんの場合は経営者の問題です。
問題って何?
更新審査を漫然と受けていることが問題。更新審査までに何をやらなければいけないか検討していない。前回の更新からあるいは初回認証から3年間が経過していることを踏まえて、少なくとも3年間の有効性レビューをやる。その結果、有効性改善のための施策が、次の方針、次の仕組み(マニュアル、管理策)に反映されなければいけない。更新審査の1,2ヶ月前から新たな枠組みでISMS運用が行われていなければいけない。
その新たな枠組みでの状況を第三者視点から確認するのが、更新審査だとするスタンスです。
.*.
初回認証審査では、構築し運用しているものを審査するように先手で準備していたものが、いつの間にか、再構築し運用しているものを審査するような準備になっていない。継続審査と同じで言われたことを後追いで手直しして済ませる態度に摩り替わっている。
審査の問題としたが、審査も悪いに決まっている。次年度に更新を控えたサーベイランスの時に、更新に向けて何を成すべきか正しく説明しているのに出会ったことが無いなどと。実際に、先生諸氏も歯切れが悪くなる。
.*.
査の問題ではない。コンサルの問題です。コンサルが居ない場合は事務局の問題です。事務局が只の事務屋さんの場合は経営者の問題です。
問題って何?
更新審査を漫然と受けていることが問題。更新審査までに何をやらなければいけないか検討していない。前回の更新からあるいは初回認証から3年間が経過していることを踏まえて、少なくとも3年間の有効性レビューをやる。その結果、有効性改善のための施策が、次の方針、次の仕組み(マニュアル、管理策)に反映されなければいけない。更新審査の1,2ヶ月前から新たな枠組みでISMS運用が行われていなければいけない。
その新たな枠組みでの状況を第三者視点から確認するのが、更新審査だとするスタンスです。
.*.
初回認証審査では、構築し運用しているものを審査するように先手で準備していたものが、いつの間にか、再構築し運用しているものを審査するような準備になっていない。継続審査と同じで言われたことを後追いで手直しして済ませる態度に摩り替わっている。
審査の問題としたが、審査も悪いに決まっている。次年度に更新を控えたサーベイランスの時に、更新に向けて何を成すべきか正しく説明しているのに出会ったことが無いなどと。実際に、先生諸氏も歯切れが悪くなる。
.*.
文書審査の軽重も知らない
文書審査はISMS構築の裏づけとなるだけに最も大事な審査要素ですが、初回認証審査と継続審査(サーベイランス)と更新審査では自ずと重みには違いが出る。特に、初回認証審査ではもっとも重要視せざるを得ない。構築が終わると再構築は色々な理由でおいそれとは出来ない。維持審査(継続審査)はその名前の通り構築より維持継続が主眼。
更新審査は3年間を踏まえて、特に作ったシステムの有効性を評価して、システムの再構築(Re-Build)に当たる訳だから、文書審査は重要になる。ここで勘違いしてはいけない。
「更新審査を通じてシステム再構築に向けた文書上の問題を洗い出すのではない!」
.*.
更新審査の前に実施されるマネジメントレビューを通じて、有効性改善に向けたシステム(ISMS)の見直しが行われ、その一環として文書改定は終了していなければいけない。更新審査は、その改善作業が妥当なものかどうかを確認する立場をとる。コンサルは、マネジメントレビューの準備プロセスにおいて3年間の有効性評価、改善に向けた新たな提案の検討を行わなければいけない。
実際は、周回遅れ以下かも。更新審査で初めて有効性が妥当であったかどうかチェックして、それから文書改定(システム見直し)に入る。悪くすると、改善のための見直しすら実施されない。何故なら、有効性評価に真面目に取り組んでいないケースが殆どだから。
.*.
冒頭タイトルに戻る。更新審査の場合、主要な文書の見直しが行われていないことが明らかな場合は、文書記載事項と実施内容の不整合を調べる審査は殆ど意味が無い。しかし、更新も2回目となれば尚更だ。文書の改定を実施していれば改定箇所の妥当性・合理性・有効性に問題が行くが、変更していなければ、ルールと実態の乖離を見るアプローチは2流3流の審査。
ベテランの多くが2流3流のアプローチを嬉々として続けている。
.*.
基本方針、適用宣言書、マニュアルなど主要文書の見直しをやらない組織、2回目の更新だと6年間も放置したままの組織、そこで文書審査をやる意味はどの程度あるか。有効性改善への取り組みが無いままなのに過去6回の審査で合格を出してきた文書を下敷きに構築されているISMSに対する正しいアプローチは何か?
「実態としての矛盾・問題に対する理解を共有することから始めなければいけない!」
経営者の狙い・目的を達成できているかを実態から客観的に判断すること。これが先決。その上で、現在のシステムの課題を明確にする。
文書に基づく実態の点検ではなく、実態に基づく文書の点検になる。発想・手順は逆にしなければいけない。ベテランでもこの辺が全く理解できていない先生が居るようです。規格→文書→実態の流れしか理解できていない。規格→実態→文書の流れもあることをです。特に、いい加減な文書構築を容認してしまった場合は後者の流れが必須になります。
.*.
文書審査はISMS構築の裏づけとなるだけに最も大事な審査要素ですが、初回認証審査と継続審査(サーベイランス)と更新審査では自ずと重みには違いが出る。特に、初回認証審査ではもっとも重要視せざるを得ない。構築が終わると再構築は色々な理由でおいそれとは出来ない。維持審査(継続審査)はその名前の通り構築より維持継続が主眼。
更新審査は3年間を踏まえて、特に作ったシステムの有効性を評価して、システムの再構築(Re-Build)に当たる訳だから、文書審査は重要になる。ここで勘違いしてはいけない。
「更新審査を通じてシステム再構築に向けた文書上の問題を洗い出すのではない!」
.*.
更新審査の前に実施されるマネジメントレビューを通じて、有効性改善に向けたシステム(ISMS)の見直しが行われ、その一環として文書改定は終了していなければいけない。更新審査は、その改善作業が妥当なものかどうかを確認する立場をとる。コンサルは、マネジメントレビューの準備プロセスにおいて3年間の有効性評価、改善に向けた新たな提案の検討を行わなければいけない。
実際は、周回遅れ以下かも。更新審査で初めて有効性が妥当であったかどうかチェックして、それから文書改定(システム見直し)に入る。悪くすると、改善のための見直しすら実施されない。何故なら、有効性評価に真面目に取り組んでいないケースが殆どだから。
.*.
冒頭タイトルに戻る。更新審査の場合、主要な文書の見直しが行われていないことが明らかな場合は、文書記載事項と実施内容の不整合を調べる審査は殆ど意味が無い。しかし、更新も2回目となれば尚更だ。文書の改定を実施していれば改定箇所の妥当性・合理性・有効性に問題が行くが、変更していなければ、ルールと実態の乖離を見るアプローチは2流3流の審査。
ベテランの多くが2流3流のアプローチを嬉々として続けている。
.*.
基本方針、適用宣言書、マニュアルなど主要文書の見直しをやらない組織、2回目の更新だと6年間も放置したままの組織、そこで文書審査をやる意味はどの程度あるか。有効性改善への取り組みが無いままなのに過去6回の審査で合格を出してきた文書を下敷きに構築されているISMSに対する正しいアプローチは何か?
「実態としての矛盾・問題に対する理解を共有することから始めなければいけない!」
経営者の狙い・目的を達成できているかを実態から客観的に判断すること。これが先決。その上で、現在のシステムの課題を明確にする。
文書に基づく実態の点検ではなく、実態に基づく文書の点検になる。発想・手順は逆にしなければいけない。ベテランでもこの辺が全く理解できていない先生が居るようです。規格→文書→実態の流れしか理解できていない。規格→実態→文書の流れもあることをです。特に、いい加減な文書構築を容認してしまった場合は後者の流れが必須になります。
.*.
2011年09月28日
時間にルーズな会社のISMS?
コンサルは時間を売っているようなもの。限られた時間で当該クライアントにもっと相応しいソリューションを提供したい。出来ればハートtoハートで。改善のための共感を得ながら達成感もともに味わいたい。と思って訪問させてもらっている。なんてね。
しかし、時間通りに担当者は現れない。嫌々、迷惑そうに遅れて出てくる。現場も同じ。上から言われたから、しようが無く会ってやるんだと。
.*.
審査の時もルーズがちょいちょい顔を出す。
ある先生は時間になっても誰も現れないものだから、わざわざ部門まで出向いて出席をお願いすることがあったとか。どうしてそんなことするの?不適合とか黙って出しておけば良いのに。その先生曰く。審査が成立しないと審査員自身にクレームが来てしまうらしい。
毅然たる態度より、サービス業に徹する態度。中身が変わる訳でもないでしょうが、先生方の世界も難しいんだね、
いずれにしても、時間にルーズな会社は本業もルーズなんだろうね。その内には淘汰されるでしょうから、心配ご無用にござい。
.*.
コンサルは時間を売っているようなもの。限られた時間で当該クライアントにもっと相応しいソリューションを提供したい。出来ればハートtoハートで。改善のための共感を得ながら達成感もともに味わいたい。と思って訪問させてもらっている。なんてね。
しかし、時間通りに担当者は現れない。嫌々、迷惑そうに遅れて出てくる。現場も同じ。上から言われたから、しようが無く会ってやるんだと。
.*.
審査の時もルーズがちょいちょい顔を出す。
ある先生は時間になっても誰も現れないものだから、わざわざ部門まで出向いて出席をお願いすることがあったとか。どうしてそんなことするの?不適合とか黙って出しておけば良いのに。その先生曰く。審査が成立しないと審査員自身にクレームが来てしまうらしい。
毅然たる態度より、サービス業に徹する態度。中身が変わる訳でもないでしょうが、先生方の世界も難しいんだね、
いずれにしても、時間にルーズな会社は本業もルーズなんだろうね。その内には淘汰されるでしょうから、心配ご無用にござい。
.*.
2011年09月25日
データセンターの情報資産
外部のデータセンターを利用することは珍しいことではない。ハウジング、ホスティングでは日本はハウジングが主流だったが、例のクラウドのメリットが理解されるにつれて、ハウジングに拘らない利用者が増えてきた。
データセンターの情報資産の場合、基本的なことで疑問が出ます。
.*.
外部のデータセンターを利用することは珍しいことではない。ハウジング、ホスティングでは日本はハウジングが主流だったが、例のクラウドのメリットが理解されるにつれて、ハウジングに拘らない利用者が増えてきた。
データセンターの情報資産の場合、基本的なことで疑問が出ます。
- 外部に情報資産の管理を委託すると考えてよいか?
- 外部に預けている資産も台帳を作るのか?
- 管理を委託しているのはリスクの移転に相当するのか?
- 外部に預けてもリスクアセスメントの対象になるのか?
- 情報システム部門はインフラ業務の一部を外部に委託する形になる。リスクの移転を図ったのは情報システム部門である。
- 一般のインフラ利用部門は情報システム部門が準備したインフラを利用すると言うことでは違いはない。自部門が管理する情報資産のリスクアセスメントも変わりなく実施することが必要。
.*.
審査のある日に外出する?
兎に角です。仕事以外の面倒が嫌。そういう人は居ます。有能な中堅や管理職に意外と多い。そういう気持ちは伝播します。その部門全体がネガティブな心持になります。コンサルが調査に出かけても本業外として嫌がりますから、審査などは鼻から問題になりません。さっさと外出してしまいます。酷いときは全員。ISMSの担当者以外は本当に全員。残るのはISMS委員と事務局とコンサルだけ。自分でも恥ずかしくなるそうだ。
もっとも、頓珍漢な受け答えのお陰で余計な宿題を貰うくらいなら外出がいい。三十六計逃げるにしかずです。部門長までもが顧客に呼ばれたと言って出かけてしまう。自部門の審査が終わると帰社する。帰社してもコンサルは勿論、審査員にも挨拶も何もしない。門前払いと同様のことが平気でできるのだから、いずれは会社のお荷物になるだろう。と、誰もが思うわけです。
.ところが、下克上の昨今は部門長を残してISMS担当が外出してしまう。担当が居ないからと、どっちにしてもEXCUSEが出る。
.*.
でも、
審査ってそんなに大事なことなの?。そうですね。人間ドックと考えてみてください。人間ドックなら、1ヵ月後に延期は可能ですが、審査はスキップしたら今年はお終い。次は来年、あるかどうかです。待ったなしの人間ドックだと考えると、大事さ加減はある程度理解できるでしょう。
そうなれば、スケジュール調整などは自分でやるでしょう。部門長なら簡単にできること。経営者インタビューに社長は時間を作っていて、只の部門長が時間が作れないことはない。能力が無いんだろう。と思われても止む無しか?。
コンサルにとっても審査は緊張する。下手をすれば自分が恥をかく。しっかり領分を守らない訳には行かない。と言いつつも、同席して審査員に食って掛かるのは、もっと恥晒しだから、単純でない。
.*.
兎に角です。仕事以外の面倒が嫌。そういう人は居ます。有能な中堅や管理職に意外と多い。そういう気持ちは伝播します。その部門全体がネガティブな心持になります。コンサルが調査に出かけても本業外として嫌がりますから、審査などは鼻から問題になりません。さっさと外出してしまいます。酷いときは全員。ISMSの担当者以外は本当に全員。残るのはISMS委員と事務局とコンサルだけ。自分でも恥ずかしくなるそうだ。
もっとも、頓珍漢な受け答えのお陰で余計な宿題を貰うくらいなら外出がいい。三十六計逃げるにしかずです。部門長までもが顧客に呼ばれたと言って出かけてしまう。自部門の審査が終わると帰社する。帰社してもコンサルは勿論、審査員にも挨拶も何もしない。門前払いと同様のことが平気でできるのだから、いずれは会社のお荷物になるだろう。と、誰もが思うわけです。
.ところが、下克上の昨今は部門長を残してISMS担当が外出してしまう。担当が居ないからと、どっちにしてもEXCUSEが出る。
.*.
でも、
審査ってそんなに大事なことなの?。そうですね。人間ドックと考えてみてください。人間ドックなら、1ヵ月後に延期は可能ですが、審査はスキップしたら今年はお終い。次は来年、あるかどうかです。待ったなしの人間ドックだと考えると、大事さ加減はある程度理解できるでしょう。
そうなれば、スケジュール調整などは自分でやるでしょう。部門長なら簡単にできること。経営者インタビューに社長は時間を作っていて、只の部門長が時間が作れないことはない。能力が無いんだろう。と思われても止む無しか?。
コンサルにとっても審査は緊張する。下手をすれば自分が恥をかく。しっかり領分を守らない訳には行かない。と言いつつも、同席して審査員に食って掛かるのは、もっと恥晒しだから、単純でない。
.*.
2011年09月24日
RACONTIS(ラコンティス)の功罪
ツールを使う問題点は以前にも話が出た。興味深いのは、岡目八目で不利益が見えるのでなく、当事者ご自身が不利益を理解していること。もっとも、後の祭りの場合が殆どだが、建て直しをどうするか課題認識はしっかりしているところも多い。匙を投げて自分の担当の間だけはいい加減を続けるところもあるようだ。
経営者は裸の王様。
子供のオネダリに応えてとうとう家庭教師ロボットを買ってしまった。この頃は宿題などはしっかりやっている。でも学校の試験は駄目。どうも本番に弱い。メンタルの問題か?
嫌、子供が買ったのは宿題ロボット。宿題はばっちり。子供はゲームに励んで学校では人気者。試験の日さえなければ。
さて、ツールは家庭教師か宿題ロボットか。誰でも答えは知っている。
.*.
一番大切なリスクアセスメント。これの意味を知る人は決してツールは使わないし使わせない。ろくに理解もしていない人は安直に飛びつくが、結果を想像できたら、あるいは意味を理解できたら、冷や汗を大量に流しただろうね。
リスクアセスメントは学習の場と理解できるかどうか。全てはそれに掛かっている。ツールにやらせる、事務局が一手に引き受けてやる、ISMS委員がやる。こんな馬鹿あだれもやらない。eラーニングはテストも代わりにやっておきましたから言われて有難うという人はいないでしょう。
.*.
ツール自身には罪はないとよく聞くが、ツールの開発者がよく知らなければ、結局は罪作りなことをしていることになる。
.*.
(引用記事)
ツールを使う問題点は以前にも話が出た。興味深いのは、岡目八目で不利益が見えるのでなく、当事者ご自身が不利益を理解していること。もっとも、後の祭りの場合が殆どだが、建て直しをどうするか課題認識はしっかりしているところも多い。匙を投げて自分の担当の間だけはいい加減を続けるところもあるようだ。
経営者は裸の王様。
子供のオネダリに応えてとうとう家庭教師ロボットを買ってしまった。この頃は宿題などはしっかりやっている。でも学校の試験は駄目。どうも本番に弱い。メンタルの問題か?
嫌、子供が買ったのは宿題ロボット。宿題はばっちり。子供はゲームに励んで学校では人気者。試験の日さえなければ。
さて、ツールは家庭教師か宿題ロボットか。誰でも答えは知っている。
.*.
一番大切なリスクアセスメント。これの意味を知る人は決してツールは使わないし使わせない。ろくに理解もしていない人は安直に飛びつくが、結果を想像できたら、あるいは意味を理解できたら、冷や汗を大量に流しただろうね。
リスクアセスメントは学習の場と理解できるかどうか。全てはそれに掛かっている。ツールにやらせる、事務局が一手に引き受けてやる、ISMS委員がやる。こんな馬鹿あだれもやらない。eラーニングはテストも代わりにやっておきましたから言われて有難うという人はいないでしょう。
.*.
ツール自身には罪はないとよく聞くが、ツールの開発者がよく知らなければ、結局は罪作りなことをしていることになる。
.*.
(引用記事)
2011年09月23日
ディスカウントされた料金の意味
コンサルはあまりディスカウントしない。ディスカウントすれば事業放棄になりかねない。少なくとも値引きなどとは言ってはならない。本当のニーズに立ち会えばディスカウントする必要すらありません。値引きをするようなコンサルはプロの態度でないゆえに結局は門前払い。
審査の方は事情が少し違う。携帯キャリアとかネットワークプロバイダーとかのビジネスと似ている。一度囲い込んでしまえば、金のなる木、安定収入の元になるからだ。コンサルはワンタイム、審査は継続。
ディスカウントに目がくらんで変なものを掴んでしまったらどうしますか。成長機会・改善機会を失って長期的に見ると大損失。セキュリティ事故を起こしてしまうリスクも抱え込んでの話だから、ディスカウントなどに目が眩んだ己をいくら恨んでも取り返しが付かなくなる。
審査のQCDで学んだように、Cを下げればQも下がる。Dを急いでQは下がる。特にコストは全てを支配します。安かろう悪かろうを受け入れるなら、ISMSへの取り組みは無意味。止めなさい。ということらしい。
.*.
安易に値引きしてくる営業・審査機関は要注意。どこの認定機関(認証機関を取り締まるところ)も、ディスカウントなど論外のスタンスです。持っての外という事です。
.*.
コンサルはあまりディスカウントしない。ディスカウントすれば事業放棄になりかねない。少なくとも値引きなどとは言ってはならない。本当のニーズに立ち会えばディスカウントする必要すらありません。値引きをするようなコンサルはプロの態度でないゆえに結局は門前払い。
審査の方は事情が少し違う。携帯キャリアとかネットワークプロバイダーとかのビジネスと似ている。一度囲い込んでしまえば、金のなる木、安定収入の元になるからだ。コンサルはワンタイム、審査は継続。
ディスカウントに目がくらんで変なものを掴んでしまったらどうしますか。成長機会・改善機会を失って長期的に見ると大損失。セキュリティ事故を起こしてしまうリスクも抱え込んでの話だから、ディスカウントなどに目が眩んだ己をいくら恨んでも取り返しが付かなくなる。
審査のQCDで学んだように、Cを下げればQも下がる。Dを急いでQは下がる。特にコストは全てを支配します。安かろう悪かろうを受け入れるなら、ISMSへの取り組みは無意味。止めなさい。ということらしい。
.*.
安易に値引きしてくる営業・審査機関は要注意。どこの認定機関(認証機関を取り締まるところ)も、ディスカウントなど論外のスタンスです。持っての外という事です。
.*.
審査機関というビジネスの在り方
免許皆伝事業ではない。家元事業でもない。検査サービス事業は近い。人間ドック事業も近い。
先ず
◇
QよりもCとDに拘るのは本末転倒。Qは目に見えないが、CとDはよく見えるから安易にCとDに走る輩の何と多いことか。呆れるばかりである。
Qの中身も情けない。体裁というかパフォーマンスばかりで、手順がスマートならQが高いと勘違いする向きにはこちらが赤面させられるほどだ。
Qの本質を向上させるには十分な業界経験を積まないと無理。若い兄ちゃんを大量に採用して付け焼刃では出来ない。もっとも経験者には自分の成功体験に落ち込む弱点もある。QはCとDがトレードオフになるものだ。CとDに走れば実現できるQは薄っぺらいものになるのは当然の帰結。
<よい審査には金も時間もかかる>
当たり前のことです。手品もマジックもありません。
.*.
免許皆伝事業ではない。家元事業でもない。検査サービス事業は近い。人間ドック事業も近い。
先ず
- 一番はQ、基準に照らして乖離の度合いを正しく把握し判るように伝えること。
乖離の度合いによって及ぼす影響を正しく分かりやすく伝えること。
病気(不適合)のレベルでなければ、改善に向けた助言、回復のための助言。
病気(不適合)のレベルであれば、治療のためのプログラムに入れる。重度であれば入院などの強制的手段。
- 二番はD、結果を早く伝えること。当日、一定の気かが出ていればよい。1週間後や1ヶ月後では臨場感も失う。何よりも有効性を喪失してしまう。
- 三番はC、負担少なく。コストは問題が多い。
◇
QよりもCとDに拘るのは本末転倒。Qは目に見えないが、CとDはよく見えるから安易にCとDに走る輩の何と多いことか。呆れるばかりである。
Qの中身も情けない。体裁というかパフォーマンスばかりで、手順がスマートならQが高いと勘違いする向きにはこちらが赤面させられるほどだ。
Qの本質を向上させるには十分な業界経験を積まないと無理。若い兄ちゃんを大量に採用して付け焼刃では出来ない。もっとも経験者には自分の成功体験に落ち込む弱点もある。QはCとDがトレードオフになるものだ。CとDに走れば実現できるQは薄っぺらいものになるのは当然の帰結。
<よい審査には金も時間もかかる>
当たり前のことです。手品もマジックもありません。
.*.
2011年09月22日
機密性区分の考え方
機密性区分で、レベル1は「誰が見ても構わない」(誰が見てもそのことで損害が生じない)であるが、レベル1=公開情報とすると意味が少し変わってくるので注意すべきだ。『誰が見ても構わないけど公開はしない』情報が行き場を失う心配がある。
公開情報は機密性1で完全性・可用性の価値は高い。公開するからには完全性・可用性に責任が生じる。
.*.
『誰が見ても構わないのに非公開』の情報って何だろう?
他所からもらったチラシとかDMとかですか。『他者が公開した情報』。その情報の完全性・可用性に責任を負わなくても構わないケース。外部文書の一部。外部文書も保管上は相応の可用性・完全性が求められる。
.*.
社内文書で、「公開」する意図を持たない」機密性レベル1の文書は何かあるか?
.*.
機密性区分で、レベル1は「誰が見ても構わない」(誰が見てもそのことで損害が生じない)であるが、レベル1=公開情報とすると意味が少し変わってくるので注意すべきだ。『誰が見ても構わないけど公開はしない』情報が行き場を失う心配がある。
公開情報は機密性1で完全性・可用性の価値は高い。公開するからには完全性・可用性に責任が生じる。
.*.
『誰が見ても構わないのに非公開』の情報って何だろう?
他所からもらったチラシとかDMとかですか。『他者が公開した情報』。その情報の完全性・可用性に責任を負わなくても構わないケース。外部文書の一部。外部文書も保管上は相応の可用性・完全性が求められる。
.*.
社内文書で、「公開」する意図を持たない」機密性レベル1の文書は何かあるか?
.*.
2011年09月21日
◆事業拡大とISMS
事業拡大に邁進する企業。そこでもISMSに取り組む。経営の意志は事業拡大に伴うマネジメントのレベル低下を防ぐこと。ISMSを維持向上することで、ガバナンス体制を強化し、安心して事業拡大を図ろうと言うものだ。
正しい発想だが、心得違いにご注意。ISMSはコンサルが維持するのではないと言うこと。ましてや審査員は何の役にも立たない。
肝心は経営層の明確な意思と毅然たる態度。企業体質つくりを人任せにしていては事業拡大が成功するわけが無い。必ず足元を掬われる。経営陣は新事業で忙しい。既存事業への目配りは不十分になる。
<留意事項>
.*.
事業拡大に邁進する企業。そこでもISMSに取り組む。経営の意志は事業拡大に伴うマネジメントのレベル低下を防ぐこと。ISMSを維持向上することで、ガバナンス体制を強化し、安心して事業拡大を図ろうと言うものだ。
正しい発想だが、心得違いにご注意。ISMSはコンサルが維持するのではないと言うこと。ましてや審査員は何の役にも立たない。
肝心は経営層の明確な意思と毅然たる態度。企業体質つくりを人任せにしていては事業拡大が成功するわけが無い。必ず足元を掬われる。経営陣は新事業で忙しい。既存事業への目配りは不十分になる。
<留意事項>
- ISMS推進ノウハウの伝承を確実にする。特に現場。毎年ISMS担当を変える馬鹿マネジャーが少なくない。飲み会の幹事を回り持ちさせる感覚のマネジャーならそっちを変えてしまえ。
- 委員会活動をハイレベルで維持する。特に事業拡大先は後進組だから、週1回は常識。先行しているところも月1回は最低条件。
- 文書化の品質を上げる。事業拡大による新規参入が増えて阿吽の呼吸で済ませることがやりにくくなる。隙間の文書化と既存文書の見直し。
- 新規組み入れの拡大部門のISMSを誰かが肩代わりしないで、自分で考えて自分でやらせること。先人の悪い見本に染めさせないこと。最初が肝心。[事業+ISMS]でなく[ISMS in 事業]または[事業 in ISMS]に持っていくこと。
.*.
ITガバナンスと部門の自走力
いきなり深いテーマになった。この2つは、2つとも成立するケース、片方だけが成立するケース、2つとも成立しないケース。考え方としては、全ての組み合わせがある。
社会的責任を果たすため経営陣による企業統制は強く求められているが、一方では事業力・起業力を高く維持するには部門の自走は欠かせない。両者を矛盾無く達成できればエクセレント企業。普通の企業は片方の成立も難しい。
情報管理機能も同様だ。ISMS維持強化においても命題は共通する。
達成の極意は?
曖昧にする。弛める。このようなことが入り込むと根底から崩れる。仕事への厳しさと人への思いやりを同居させること。人は緩めても仕事は弛めない。仕事は緊張感と集中力、人はいたわりと寛容。かな?
<自滅の事例>
.*.
いきなり深いテーマになった。この2つは、2つとも成立するケース、片方だけが成立するケース、2つとも成立しないケース。考え方としては、全ての組み合わせがある。
社会的責任を果たすため経営陣による企業統制は強く求められているが、一方では事業力・起業力を高く維持するには部門の自走は欠かせない。両者を矛盾無く達成できればエクセレント企業。普通の企業は片方の成立も難しい。
情報管理機能も同様だ。ISMS維持強化においても命題は共通する。
達成の極意は?
- 役割責任の線引きを明確にする
- 役割責任を全うする。
曖昧にする。弛める。このようなことが入り込むと根底から崩れる。仕事への厳しさと人への思いやりを同居させること。人は緩めても仕事は弛めない。仕事は緊張感と集中力、人はいたわりと寛容。かな?
<自滅の事例>
- 内部監査などで不適合の内容を観察で済ませる。口頭指摘で済ませる。温情主義のつもりだろうが仕事を放棄して会社を壊している。
- 再発防止に踏み込まない是正処置を黙って受け取る本社スタッフ。
- 本社から指示されたら狙いも背景も理解しないまま黙々と作業する現場。
.*.
◆保管倉庫を見れば全てが分かる?
コンサルを始める時に立派な能書きを準備するより、クライアントと一緒に倉庫を見てみよう。倉庫の有様を見れば何が課題か考える前に素直に反省から入ることが出来る。共感を持って最初から仕事が出来るわけです。
責任者が明確でない共用部にはマネジメントの隙間がとぐろを巻いて渦高く積み上げられています。
倉庫の次に見るのは?
共用スペースの対極にある個人の引き出し・デスクサイドキャビネット・個人用収納スペース。個人用スペースにはマネジメントが到達できた結果(躾?)が顔を覗かせています。
倉庫も個人スペースも普段は他人に見せることはありませんから管理基準から躾に至るまで、マネジメントの緩みが顔を出しくれます。普段は他人が見ないのでリスクが潜む懸念も大きいと考えた方がいいでしょう。
<課題設定>
コンサルとしてどういう問題を提起しどのようなアドバイスを示すべきでしょうか?
.*.
コンサルを始める時に立派な能書きを準備するより、クライアントと一緒に倉庫を見てみよう。倉庫の有様を見れば何が課題か考える前に素直に反省から入ることが出来る。共感を持って最初から仕事が出来るわけです。
責任者が明確でない共用部にはマネジメントの隙間がとぐろを巻いて渦高く積み上げられています。
倉庫の次に見るのは?
共用スペースの対極にある個人の引き出し・デスクサイドキャビネット・個人用収納スペース。個人用スペースにはマネジメントが到達できた結果(躾?)が顔を覗かせています。
倉庫も個人スペースも普段は他人に見せることはありませんから管理基準から躾に至るまで、マネジメントの緩みが顔を出しくれます。普段は他人が見ないのでリスクが潜む懸念も大きいと考えた方がいいでしょう。
<課題設定>
コンサルとしてどういう問題を提起しどのようなアドバイスを示すべきでしょうか?
- 情報資産に対する管理責任者の割り当て。特に、共同利用される施設・設備・備品など。サーバールームが倉庫になったり、倉庫がサーバールームになったりすることもあります。マネジメントとしては殆ど敗北状態ですね。中には更衣室まで一緒くたのケースもあります。
- パブリック(業務・社用)とプライベート(私物)の線引き基準と認可された管理形態。私物はロッカーで居室持込禁止も少なくない。
.*.
ウイルス定義ファイルの更新が止まる
ウイルス定義ファイルの更新が出来ない。あるいは最新の定義ファイルによるウイルスチェックが出来ない。パソコンを立ち上げれば、自動的に最新の定義ファイルを取り込んで最新の防御体制が取れるはずなのに実際は必ずと言っていいほど抜け漏れがある。何故でしょう?
必須の管理策が、・・・筈の管理策に摩り替わっているからです。ウイルスチェックも、資源管理も、ツールを埋め込んでおけば必ず出来る筈なのですが、筈でしかないのです。
<ウイルス定義ファイルの更新が止まる主な理由>
.*.
対処法として勘違いしてはいけないことがあります。更新が止まる原因を特定して是正処置を打つのは当然ですが、それで十分と判断するのは早計だということです。原因が特定できない可能性を認めることが必要です。そのことを踏まえて、所謂、水際作戦も施策の一つとして残しておくことです。出なければ「筈だ」の呪縛に掛かります。
<対策>
パソコン使用責任者に定期的にウイルス定義ファイルの更新状況を確認してもらう。
.*.
ウイルス定義ファイルの更新が出来ない。あるいは最新の定義ファイルによるウイルスチェックが出来ない。パソコンを立ち上げれば、自動的に最新の定義ファイルを取り込んで最新の防御体制が取れるはずなのに実際は必ずと言っていいほど抜け漏れがある。何故でしょう?
必須の管理策が、・・・筈の管理策に摩り替わっているからです。ウイルスチェックも、資源管理も、ツールを埋め込んでおけば必ず出来る筈なのですが、筈でしかないのです。
<ウイルス定義ファイルの更新が止まる主な理由>
- 何かのソフトをインストールする時に、一時的にウイルス対策ソフトの作動を制限し、インストール後にウイルス対策ソフトの作動を復帰させるのを忘れる。
- 定義ファイル参照サーバーを社内に設営しておいて、サーバー側の更新を適切に出来ていない。
- オフラインで立ち上げた後の処理が適切でない。
.*.
対処法として勘違いしてはいけないことがあります。更新が止まる原因を特定して是正処置を打つのは当然ですが、それで十分と判断するのは早計だということです。原因が特定できない可能性を認めることが必要です。そのことを踏まえて、所謂、水際作戦も施策の一つとして残しておくことです。出なければ「筈だ」の呪縛に掛かります。
<対策>
パソコン使用責任者に定期的にウイルス定義ファイルの更新状況を確認してもらう。
.*.
パソコン資源管理ソフト
パソコン内にインストールされているプログラム類を監視する機能を持つ。何に役立つかと言うと、プログラムのバージョンが適切に更新されているかどうか分かる。保有ライセンスを超えてインストールされていないか分かる。禁止されているプログラム類、ウイニーの類が不正にインストールされていないかが分かる。
各社からリリースされているが、優劣の比較検討については良く知らない。PCに管理ソフトをインストールすると、定期的あるいは何かのイベントのタイミングで監視サーバーに情報が提供される。監視自体はリアルタイムが基本だろう。単に情報収集以外に、強制的にプログラムの配布更新までカバーするものもあるようだ。そこまでやると別の問題を引き起こすのではないかと心配になるが、その辺がメーカーの知恵の出しどころなんでしょう。
アクセス(社外も社内も)情報、ダウンロード情報、などのログが取れる。中にはログだけでなく、出たそのものの控えまで残すものもあるように聞く。
この手のソフトはライセンス料金が高いのが玉に瑕。加えてリソース(ネット帯域、ストレージ)も大食いしそうだ。その内、技術的に確立してくれば安い商品も出回るか、クラウドサービスの範疇に入るかすれば更に普及するだろうか。
一般的な弱点としては、
.*.
<パソコン資源管理ソフトの例>
比較的よく耳にする資源管理ソフト。ビジネス的には現時点では美味しいエリヤかも。他にもあるだろうし、勘違いも含まれるだろうが、比較検討の対象にして良さそうだ。
コンサルもITのプロではないからこの辺の比較評価を踏まえたリコメンドは容易でない。それでも詳細検討するまでもなく、カバーする台数と予算で選択できるソフトは限定されてしまうらしい。
.*.
パソコン内にインストールされているプログラム類を監視する機能を持つ。何に役立つかと言うと、プログラムのバージョンが適切に更新されているかどうか分かる。保有ライセンスを超えてインストールされていないか分かる。禁止されているプログラム類、ウイニーの類が不正にインストールされていないかが分かる。
各社からリリースされているが、優劣の比較検討については良く知らない。PCに管理ソフトをインストールすると、定期的あるいは何かのイベントのタイミングで監視サーバーに情報が提供される。監視自体はリアルタイムが基本だろう。単に情報収集以外に、強制的にプログラムの配布更新までカバーするものもあるようだ。そこまでやると別の問題を引き起こすのではないかと心配になるが、その辺がメーカーの知恵の出しどころなんでしょう。
アクセス(社外も社内も)情報、ダウンロード情報、などのログが取れる。中にはログだけでなく、出たそのものの控えまで残すものもあるように聞く。
この手のソフトはライセンス料金が高いのが玉に瑕。加えてリソース(ネット帯域、ストレージ)も大食いしそうだ。その内、技術的に確立してくれば安い商品も出回るか、クラウドサービスの範疇に入るかすれば更に普及するだろうか。
一般的な弱点としては、
- ネットに常時接続されないパソコンの扱い。
- インストールされないプログラム、スクリプト型への対応。
.*.
<パソコン資源管理ソフトの例>
比較的よく耳にする資源管理ソフト。ビジネス的には現時点では美味しいエリヤかも。他にもあるだろうし、勘違いも含まれるだろうが、比較検討の対象にして良さそうだ。
コンサルもITのプロではないからこの辺の比較評価を踏まえたリコメンドは容易でない。それでも詳細検討するまでもなく、カバーする台数と予算で選択できるソフトは限定されてしまうらしい。
.*.
