内部監査員の権限

お久しぶりの困猿候補です。 何らかのマネジメントシステムの内部監査員をしている人の中には、内部監査員の役割に『詳細な是正処置の方法の指導(命令)』があると思っている人が多く見受けられます。 内部監査についての参考規格に『ISO19011 品質/又は環境マネジメントシステム監査の指針』と言う規格があります。このなかに、監査員が何をした方が良いかが、記載されています。 この規格に沿…

続きを読む

ISMS構築ストーリー その3

こんにちは、三毛猫です。いよいよ、審査機関の選定をしました。 審査機関をどこにするかについては、他の1機関と価格を比較はしましたが、もうBSIにすると決めていました。 というのも、ISMSのことよりも、文書の「へにをは」を注意するような審査員に当たることもある、と聞いていて、実際に規格を作った英国規格協会ならば、よもやそのようなことはないと判断したからです。 BSIの営業の方に…

続きを読む

セキュリティの実行は大変なの!?

4回目となります。じゅうべいです。 情報セキュリティといえば、ポリシーやらガイドラインやらルールとなりますが、策定の場と実践の場では、状況が異なっているのでは?と思える事があります。今回は、セキュリティを実践される方々の視点でまとめてみたいと思っています。 パソコンを持ち出す際に”肌身離さず”といったルールがあるのでしょうか。先日、朝のラッシュ時に大きめの肩掛け鞄を、しっかりと肩から掛け…

続きを読む

Pマークみんな苦労してるな~

こんにちは「たまご」です。 今日は最近参加したプライバシーマークのセミナーのことを書きます。 その前にちまたで見かけたことを・・・ 毎日の通勤電車のなかで、最近は網棚が開いているにもかかわらず荷物を載せない人が増えていると思います。 その中には機密資料やPCなどが入っているかなと勝手に想像しています。 その勝手な想像が当たっているとすると、最近はみんな情報漏えいには気をつけていると…

続きを読む

セキュリティ・コンサルタントの選択と資格について

こんにちは 芸達者です。 特別編として、セキュリティ・コンサルタントについてお話します。 (前回の図を暇と言うよりも、他で行き詰ってしまった場合に、頭の切り替えで 作っていますので、もうしばらくお待ちくださいね) 他の方もコンサルタントについて書かれていますが、もうすこし踏み込んだ話をします。 セキュリティ・コンサルタントと単に言いましても、色々な方がいます。 例えば…

続きを読む

事故0件

呼ばれなくても飛び出てジャジャジャジャ~ン。困猿候補生と申します。 最近のニュースになっている「いじめ」と言う深刻な問題がありますが、つい最近までお役人は「いじめ0件」と言ってました。 今回は、「いじめ」も含む「事故0件」と言う問題について、書いてみたいと思います。 ISO27001(ISMS)やISO9001(QMS)等のマネジメントシステムを運用している場合、「事故0件」を…

続きを読む

ISMS構築ストーリー その2

こんにちは、三毛猫です。いよいよISMSの構築準備が始まりました。 2004年10月を準備期間とし、参考となる本を探したり、無料セミナーに出席して、情報を収集しました。しかし、当時は、ISMSを構築する際に具体的に役立つ内容の本はありませんでしたし、無料のセミナーでは、さすがに知りたいことは分からない。 そこで、ISMS構築コースを検索したところ、5日間コースは20万円~40万円なり…

続きを読む

今回は勘弁してくだせい

こんにちは、たまごです。 最近めっきり寒くなりました。寒くなると当然ストーブなど火を使うことが多くなり、火事の危険も増してきます、火の用心、火の用心・・・ 今週は個人的にいろいろあって、正直言って書くネタがありません。 きっとアンソニーも許してくれると思うけど・・・ そこで、今回は最近参加したコンサルタントのセミナーの感想で勘弁してもいます。 正直言って、まず驚いたのはその人数です。ホ…

続きを読む

日本語版SOX法対応って大変なの!?

3回目となります。じゅうべいです。 今回は、ようやく登場してきました日本語版SOX法における金融庁のガイドライン「実施基準」からです。この実施基準は、新芽前にはといった声も当初あったりしたのですが、落ち葉の時期の登場となりました。 11月20日より、さまざまなコメントを募集する、いわば原案の状態ではありますが、今後、必要となる方向性を知ることができます。もちろん、項目レベルでは変更や廃止…

続きを読む

セキュリティ・・・そうですか、セキュリティですか

こんにちは、芸達者です。 今回のお題として 「セキュリティ・・・そうですか、セキュリティですか」 と題してお話して行きます。 巷で「セキュリティ」と言う言葉が飛び交っていますが、あなたの言っている 「セキュリティ」とは何ですか? 人やその場面によって答えが、「ウィルス対策」であったり「フィッシング」であったり 「可用性・機密性・完全性」であったりと答えが変わりますよね? …

続きを読む

誠実な対応(歴史編)

お久しぶりの登場。困猿候補生と申します。 今回は、歴史上の2人の人物を紹介します。どちらの人物も、敵に捕らわれ「降伏するようにと味方に言えば命は助ける」と言われながらも、降伏寸前の味方に向かって「味方の大軍が来る」と叱咤激励した人物です。 一人は、中国 春秋時代の晋の解揚と言います。もう一人は、日本の戦国時代の徳川勢の足軽で鳥居強衛門と言います。 晋の解揚は、敵方の大将である楚…

続きを読む

ISMS構築ストーリー その1

再び三毛猫です。ちなみに、私の飼い主はアンソニーです。 今日から、ISMSを構築した時の苦労話をシリーズで書きます。 私は文章を書くのは好きなのですが、日記はいつも三日坊主。そこで、今回は連載ものにすれば続くのではないか、と思いました。 あれは2004年の9月のことです。夏の疲れが出始め、午後になると猛烈な睡魔に襲われる毎日。あ、この頃、私は中規模のソフトウェア開発会社で翻訳の仕事…

続きを読む

コンサルの選び方

たまごです。 前回は良いコンサル悪いコンサルのお話をしましたが良いコンサル選びのポイントをご紹介します。 世の中にはコンサルと名がついたサービスを提供している業者はゴマンとあります。その中で、良いコンサルを探すのは至難のわざ。もし悪いコンサルのあたってしまったらそれはもう悲劇。 最初から専門用語バリバリで、何を言ってるかわからず、結局宿題だけだして、次回までにやっといてくださいといって…

続きを読む

教育の始まりはどんなところなの!?

2回目となります。じゅうべいです。 断じてらーめん屋に関係はありませんし、トップリフターなんて操作している訳ではありません。ただ、椅子とかを購入する際に、一番のポイントが”耐重量”だったりするだけです。 さて今回は、”教育”について考えたいと思います。 これは、”情報セキュリティの意識向上、教育及び訓練”で求められる教育ではなくて、もっと入門的な教育についてです。例えば、あまりパソコン…

続きを読む

プライバシーマークのバージョンアップの注意点

こんにちは。アンソニーです。 JISQ15001は2006年版になって、いろいろ変わったけれど、リスクアセスメントについては結構注意が必要みたいですね。 JISQ15001:2006の「3.3.3 リスクなどの認識、分析及び対策」のところで「・・その取扱いの各局面におけるリスクを認識し、分析し・・・」となっているところに改定後の思いがこもっているようです。 前から徐々にリスクアセスメン…

続きを読む

セキュリティ費用について

お初にお目にかかりまする。困猿候補生と申します。 色々なお客様のところに行くと、どの程度セキュリティに予算を回せばよいかとよく聞かれます。利益力や経営環境により一概に幾ら程度とは言えませんので、国家を例にとり説明します。 大国と呼ばれる国家が、現状どの程度国防に予算を回しているかをGDPと国防費を示します。GDPを『売上げ』、国防予算を『セキュリティ費用』と考えると平均した予算比率が…

続きを読む

セキュリティ関係のブックマークご紹介。

はじめまして。本当は7番手でございます。 この仕事にたずさわるようになって2ヶ月の新米コンサル?です。 なので、コンサルとは?とかセキュリティの知識はなどとはまだ言える立場ではないと思って いますので、ISMSや個人情報保護法など日々勉強の毎日を過ごしています。 第1回目のネタをどうするかを考えましたが、まだまだ勉強中の身なので、私がセキュリティのカテゴリでブックマークしているサ…

続きを読む

セキュリティって?

はじめまして!  パソコンを使い始めて20年以上になってしまう(パソコン通信も経験しています) セキュリティ・コンサルタントをしている「芸達者」です。 私のコンサルティング中では、最近話題orニュースになった事件を 元に「家庭では・・・で、会社に例えると・・・・」と説明しています。 また、私の場合ですが「一般(的も含む)」「常識(的も含む)」「当たり前」 「普通」を極力、会話の中…

続きを読む

初めまして。5番手です

これから三毛猫(♀)として登場します。 私は、前世で猫だったと確信しています。というのも、よく眠る。夜、ベッドに入ると、機嫌のいい時は「ニャン」とつぶやくことがある。 さて本題に入りましょう。ISO/IEC27001の要求事項は、あらゆるタイプの組織を対象としているので、良く言えば柔軟、悪く言えば曖昧に書かれています。さらに、この日本語版であるJIS Q 27001には、原文にない注…

続きを読む

はじめまして・・・

はじめまして、コンサルのたまごです。 ここで、私なりに良いコンサル、悪いコンサルの定義を考えてみました。 まず、良いコンサルとは、極力専門用語を使わず、わかりやすい言葉でなおかつ、実際の例を交えて説明してくれるコンサルだと思います。 悪いコンサルはその逆で、専門用語バリバリ。聞いている方はわからない言葉を並べられて、なんだか騙されたような気分を与えてしまうコンサルだと思います。 そもそも…

続きを読む