内部監査員の権限

お久しぶりの困猿候補です。 何らかのマネジメントシステムの内部監査員をしている人の中には、内部監査員の役割に『詳細な是正処置の方法の指導(命令)』があると思っている人が多く見受けられます。 内部監査についての参考規格に『ISO19011 品質/又は環境マネジメントシステム監査の指針』と言う規格があります。このなかに、監査員が何をした方が良いかが、記載されています。 この規格に沿…

続きを読む

ISMS構築ストーリー その3

こんにちは、三毛猫です。いよいよ、審査機関の選定をしました。 審査機関をどこにするかについては、他の1機関と価格を比較はしましたが、もうBSIにすると決めていました。 というのも、ISMSのことよりも、文書の「へにをは」を注意するような審査員に当たることもある、と聞いていて、実際に規格を作った英国規格協会ならば、よもやそのようなことはないと判断したからです。 BSIの営業の方に…

続きを読む

セキュリティの実行は大変なの!?

4回目となります。じゅうべいです。 情報セキュリティといえば、ポリシーやらガイドラインやらルールとなりますが、策定の場と実践の場では、状況が異なっているのでは?と思える事があります。今回は、セキュリティを実践される方々の視点でまとめてみたいと思っています。 パソコンを持ち出す際に”肌身離さず”といったルールがあるのでしょうか。先日、朝のラッシュ時に大きめの肩掛け鞄を、しっかりと肩から掛け…

続きを読む

セキュリティ・コンサルタントの選択と資格について

こんにちは 芸達者です。 特別編として、セキュリティ・コンサルタントについてお話します。 (前回の図を暇と言うよりも、他で行き詰ってしまった場合に、頭の切り替えで 作っていますので、もうしばらくお待ちくださいね) 他の方もコンサルタントについて書かれていますが、もうすこし踏み込んだ話をします。 セキュリティ・コンサルタントと単に言いましても、色々な方がいます。 例えば…

続きを読む

事故0件

呼ばれなくても飛び出てジャジャジャジャ~ン。困猿候補生と申します。 最近のニュースになっている「いじめ」と言う深刻な問題がありますが、つい最近までお役人は「いじめ0件」と言ってました。 今回は、「いじめ」も含む「事故0件」と言う問題について、書いてみたいと思います。 ISO27001(ISMS)やISO9001(QMS)等のマネジメントシステムを運用している場合、「事故0件」を…

続きを読む

日本語版SOX法対応って大変なの!?

3回目となります。じゅうべいです。 今回は、ようやく登場してきました日本語版SOX法における金融庁のガイドライン「実施基準」からです。この実施基準は、新芽前にはといった声も当初あったりしたのですが、落ち葉の時期の登場となりました。 11月20日より、さまざまなコメントを募集する、いわば原案の状態ではありますが、今後、必要となる方向性を知ることができます。もちろん、項目レベルでは変更や廃止…

続きを読む

セキュリティ・・・そうですか、セキュリティですか

こんにちは、芸達者です。 今回のお題として 「セキュリティ・・・そうですか、セキュリティですか」 と題してお話して行きます。 巷で「セキュリティ」と言う言葉が飛び交っていますが、あなたの言っている 「セキュリティ」とは何ですか? 人やその場面によって答えが、「ウィルス対策」であったり「フィッシング」であったり 「可用性・機密性・完全性」であったりと答えが変わりますよね? …

続きを読む

誠実な対応(歴史編)

お久しぶりの登場。困猿候補生と申します。 今回は、歴史上の2人の人物を紹介します。どちらの人物も、敵に捕らわれ「降伏するようにと味方に言えば命は助ける」と言われながらも、降伏寸前の味方に向かって「味方の大軍が来る」と叱咤激励した人物です。 一人は、中国 春秋時代の晋の解揚と言います。もう一人は、日本の戦国時代の徳川勢の足軽で鳥居強衛門と言います。 晋の解揚は、敵方の大将である楚…

続きを読む

教育の始まりはどんなところなの!?

2回目となります。じゅうべいです。 断じてらーめん屋に関係はありませんし、トップリフターなんて操作している訳ではありません。ただ、椅子とかを購入する際に、一番のポイントが”耐重量”だったりするだけです。 さて今回は、”教育”について考えたいと思います。 これは、”情報セキュリティの意識向上、教育及び訓練”で求められる教育ではなくて、もっと入門的な教育についてです。例えば、あまりパソコン…

続きを読む

プライバシーマークのバージョンアップの注意点

こんにちは。アンソニーです。 JISQ15001は2006年版になって、いろいろ変わったけれど、リスクアセスメントについては結構注意が必要みたいですね。 JISQ15001:2006の「3.3.3 リスクなどの認識、分析及び対策」のところで「・・その取扱いの各局面におけるリスクを認識し、分析し・・・」となっているところに改定後の思いがこもっているようです。 前から徐々にリスクアセスメン…

続きを読む

セキュリティ費用について

お初にお目にかかりまする。困猿候補生と申します。 色々なお客様のところに行くと、どの程度セキュリティに予算を回せばよいかとよく聞かれます。利益力や経営環境により一概に幾ら程度とは言えませんので、国家を例にとり説明します。 大国と呼ばれる国家が、現状どの程度国防に予算を回しているかをGDPと国防費を示します。GDPを『売上げ』、国防予算を『セキュリティ費用』と考えると平均した予算比率が…

続きを読む

セキュリティ関係のブックマークご紹介。

はじめまして。本当は7番手でございます。 この仕事にたずさわるようになって2ヶ月の新米コンサル?です。 なので、コンサルとは?とかセキュリティの知識はなどとはまだ言える立場ではないと思って いますので、ISMSや個人情報保護法など日々勉強の毎日を過ごしています。 第1回目のネタをどうするかを考えましたが、まだまだ勉強中の身なので、私がセキュリティのカテゴリでブックマークしているサ…

続きを読む

セキュリティって?

はじめまして!  パソコンを使い始めて20年以上になってしまう(パソコン通信も経験しています) セキュリティ・コンサルタントをしている「芸達者」です。 私のコンサルティング中では、最近話題orニュースになった事件を 元に「家庭では・・・で、会社に例えると・・・・」と説明しています。 また、私の場合ですが「一般(的も含む)」「常識(的も含む)」「当たり前」 「普通」を極力、会話の中…

続きを読む

初めまして。5番手です

これから三毛猫(♀)として登場します。 私は、前世で猫だったと確信しています。というのも、よく眠る。夜、ベッドに入ると、機嫌のいい時は「ニャン」とつぶやくことがある。 さて本題に入りましょう。ISO/IEC27001の要求事項は、あらゆるタイプの組織を対象としているので、良く言えば柔軟、悪く言えば曖昧に書かれています。さらに、この日本語版であるJIS Q 27001には、原文にない注…

続きを読む

情報漏えいの発生はどんなときなの!?

初めてお目にかかります。名前は、じゅうべいです。 決してちょんまげがあるとか、眼帯をつかって変身する等の芸はありません。 もちろん、赤い球なんかは使用しません。単純に重くて平らだからです。 さて今回は初回ということで、情報漏えいについて考えてみたいと思います。 なぜ、発生してしまうのでしょうか? そこで、お手軽に街角の信号無視から考えてみたいと思います。 町中で見てみると、車…

続きを読む