内部監査であれ何であれ、各現場を回ると目に付くのが無造作に置かれたメディア。フロッピーは減ったとは言えパソコンとかサーバーの側の机の引き出しを開けると出てくる。CDRも生なのか何か入っているのか分からないものが出てくる。始末が悪いのがUSBで、形もばらばらで、サイズも小さい。
ある部署では、識別(ラベリング)も何もしない理由が、重要と書いたり印をつけると重要と分かって持ち出されるから敢えて識別しないと強弁していた。都度、パソコンに掛けて内容を確認すると。結局、何が持ち出されても分からない状態でリスク受容らしいが、呆れるばかり。もちろんNGだけど、これでその部署の責任者なんだから先は長いというしかありません。
本題:メディアの識別の問題は内容が可変であることが、本質的な問題です。空ならごみでも消しきれていなければ重要資産。その可変性が結局管理を放棄させています。
審査ノウハウ:現場審査
審査ノウハウというほどのものではない。監査とか審査とか、あるいは現場診断とかを実施した場合に、「普通じゃないな」と感じる場面に遭遇する。そこでのやり方が他の現場で見てきたのとは多少違う場合です。
他の現場が、他部門であることもあれば、他社の場合もあります。多少違うのは当然ですが、それでも尚、違和感が残る場合です。通常は合理性、妥当性、適切性などの価値観に触ってくるものです。
で、首をかしげながらも一応メモを取って、場合によっては後で質問できるようにして、次の現場に向かってしまうことがあります。
既に、失敗というか間違っていますね。後で聞いても、殆どの場合、確認にはなりません。既に現場ではありませんから、実際のところ指摘なんてものはできません。守るも攻めるも現場が命です。
現場では、
他の現場が、他部門であることもあれば、他社の場合もあります。多少違うのは当然ですが、それでも尚、違和感が残る場合です。通常は合理性、妥当性、適切性などの価値観に触ってくるものです。
で、首をかしげながらも一応メモを取って、場合によっては後で質問できるようにして、次の現場に向かってしまうことがあります。
既に、失敗というか間違っていますね。後で聞いても、殆どの場合、確認にはなりません。既に現場ではありませんから、実際のところ指摘なんてものはできません。守るも攻めるも現場が命です。
現場では、
- 業務のあるいは管理の実態を聞く、見る。
- それら現場の実態は何に基づいての作業によるものかを確認する。現場が使っている作業標準です。
- 決めたとおりにやっていれば、現場の(作業者の)問題は無い。
- 現場で使う作業標準(現場で作成した作業標準)に不自然なものがあれば、何に基づいて作成したかを聞く。現場作業標準が共通の標準書(普通は規定)に基づいているか確認する。
- 規定に沿っていれば現場の標準は問題ない。
- 次は規定そのものの成り立ちを見る。規格適合性ですね。
- で、残念ながら?、規定は規格に適合している。と。
コンサルは不自然を解消するためにさらに深堀をしますが、審査はこれでお仕舞いです。本当? 実力が無いとこういう役立たずな審査になってしまいます。最初の直感は正しくても原因を推定できないのです。でも、現場審査のプロセス自体はこれが正しいのです。
現場審査に入る前に文書審査で、規定類が規格適合していることを先に確認します。ここはまだ机上論です。
電子メールのセキュリティ
電子メールのセキュリティ対策
パソコン上に余計なメールを持ち込まないためにWEBメールを使うのも一つの方法。Webメールはまたパソコンの容量を圧迫しないので、有用。
電子メール関連の管理策は、
パソコン上に余計なメールを持ち込まないためにWEBメールを使うのも一つの方法。Webメールはまたパソコンの容量を圧迫しないので、有用。
電子メール関連の管理策は、
- 10.4.1ウイルス対策
- 10.4.2モバイルコード対策
- 10.8.4メッセージの完全性
- フィルタリング・振り分け→識別
- メール拒否設定
- フィッシング対策
対応関係が分からない。
主要なWebメールは殆どセキュリティに配慮しているがそれぞれ特徴がある。組み合わせて(=各Webを直列スルーさせて)より高いセキュリティを目指したい。
- Gmail
- Windows Live Mail
- Yahoo! Mail
- Mail@nifty
4.2.3g)
監視および見直しから検出されたことを踏まえて、セキュリティ計画を更新することが、この項目の要求事項になっているが、さてと困った。この「セキュリティ計画」って何を指すんでしょう。英文を見るとsecurity plansになっているからセキュリティ関連の諸計画としても良さそうです。
- リスク対応計画
- セキュリティに関する教育計画
- 運用を管理する中で生まれる年間計画
- セキュリティ調整のための運営計画
4.2.3b)
4.2.3b)では、ISMSの有効性の定期的な見直しが出て来るがイメージが湧かない。これって、マネジメントレビューでは駄目なのかな。もしくは内部監査では駄目なのかな。
待てよ、これらは、まあ、年次だわね。普通、システムを監視していて、手直しの判断を年次でやる会社は無いでしょう。ミニマム月次で報告レビューでしょう。厳しい会社、変化の多い会社なら週次になります。勿論、大型投資・戦略的なシステム変更は年次に近いものでも止むを得ないでしょうが。
しかし、しかしです。測定基準・評価基準の見直しは年度の途中でやると変になる。見直しの材料は短いインターバルで集めて良いが、根っこの見直しは年次でも良いでしょう。
と言うことは、ここの管理策の肝は、見直しの材料として、十分であったかどうかですね。
「見直し材料」
待てよ、これらは、まあ、年次だわね。普通、システムを監視していて、手直しの判断を年次でやる会社は無いでしょう。ミニマム月次で報告レビューでしょう。厳しい会社、変化の多い会社なら週次になります。勿論、大型投資・戦略的なシステム変更は年次に近いものでも止むを得ないでしょうが。
しかし、しかしです。測定基準・評価基準の見直しは年度の途中でやると変になる。見直しの材料は短いインターバルで集めて良いが、根っこの見直しは年次でも良いでしょう。
と言うことは、ここの管理策の肝は、見直しの材料として、十分であったかどうかですね。
「見直し材料」
- セキュリティ監査の結果
- インシデント
- 有効性測定の結果
- 提案
- 利害関係者からのフィードバック
規格解釈|4.2.2b)と4.2.2c)の違い
4.2.2はISMSの導入と運用
これのb)項とc)項の違いが分からない。と言うことはリスク対応計画が良く分かっていないことになる。世の中のISMSを見たり聞いたりすると(極めて少ないサンプルには違いないが)、リスク対応計画と管理策の違いを本質的に理解しているところは少ない。リスク改善に繋がるのでどちらであっても結果には大きく影響しないから特に問題にする必要は無いということでしょう。でも正しく理解しておくことも大事ですから、少しトライしてみます。
これのb)項とc)項の違いが分からない。と言うことはリスク対応計画が良く分かっていないことになる。世の中のISMSを見たり聞いたりすると(極めて少ないサンプルには違いないが)、リスク対応計画と管理策の違いを本質的に理解しているところは少ない。リスク改善に繋がるのでどちらであっても結果には大きく影響しないから特に問題にする必要は無いということでしょう。でも正しく理解しておくことも大事ですから、少しトライしてみます。
- 4.2.2c) 管理策の実施:
既に策定されている管理策の整然たる遂行。 - 4.2.2a) リスク対応計画の立案:
システム(ISMS)の構築レベルが不十分で管理策の実施に入れる状態にない場合、不足分の工事をやる必要がありますがそのプラン(リスク対応計画)の立案を行うことです。 - 4.2.2b) リスク対応計画の実施:
プランの実施です。これによりシステム(ISMS)は変化し(改善され)目的の水準に達します。 - リスク対応はシステムに変化を及ぼす。管理策はシステム自身は変化しない。管理策を黙々やっていくだけではシステムの改善は行われません。毎年チャレンジ項目を決めてリスク対応計画として消化していくことが大事です。
資産台帳と分類表
「よくある勘違い」
- 資産目録、資産台帳を作成していると、この手間が大変。同じようなものがずらっと並ぶ。現場部門が非協力的で、事務局が一手に引き受ける場合は、特に大変。で、共通項をまとめたマスターリストみたいなものを作って、例外だけを追記してもらう。部門はマスターと現物との突合せはやらない。
- リスクアセスも事務局でまとめてやってしまうので、分類表と変わらない台帳が生き残る。
- 要因はトップの指示が現場でなく事務局に行ってしまうことにある。トップの意識・目論見・目的が認証取得だけに走ると陥るケース。苦し紛れの勘違いですね。
登録:
投稿 (Atom)
過去 30 日間
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。 情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。 情報が全く入っていないインストール前のパソコンなら、被害額はパソコ...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
管理策の審査は項目数が多いために工数がかかる。網羅性の確保と工数制約の狭間で扱いが難しい。 審査員A: 網羅性を重視し特別に時間を割りあてて審査する。現場でないと確認できないもののみ現場。 審査員B: 工数重視。現場/部門審査の中で管理策の幾つかを潰す。 A,Bの是非は難しい。初...
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴... -
セキュリティのことを第1に考える訓練をしてみる。 何らかの事象(事態、状況、事件、事故、現象など)を捉えて、セキュリティ上の問題課題とその対応をクリアにする訓練。 事象を捉える視点、問題を捉える目線は、基本的にはISMS規格をベースにする。事象におけるセキュリティ問題を明らかにす...
過去 1 年間
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
管理策の審査は項目数が多いために工数がかかる。網羅性の確保と工数制約の狭間で扱いが難しい。 審査員A: 網羅性を重視し特別に時間を割りあてて審査する。現場でないと確認できないもののみ現場。 審査員B: 工数重視。現場/部門審査の中で管理策の幾つかを潰す。 A,Bの是非は難しい。初...
-
帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
-
リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。 情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。 情報が全く入っていないインストール前のパソコンなら、被害額はパソコ...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
「管理策」 暗号利用の方針を決めろ。と。 「解説」 これ単に方針を決めればいいのかな。方針自体の妥当性・合理性・必然性なども必要ですか。”我が方では暗号は使いません”って宣言するだけでもいいの? 一方で、使う気も無いのに(方針に関係なく)、外部サービスとか、購入したツールが使っ...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
人気の投稿
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
管理策の審査は項目数が多いために工数がかかる。網羅性の確保と工数制約の狭間で扱いが難しい。 審査員A: 網羅性を重視し特別に時間を割りあてて審査する。現場でないと確認できないもののみ現場。 審査員B: 工数重視。現場/部門審査の中で管理策の幾つかを潰す。 A,Bの是非は難しい。初...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。 情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。 情報が全く入っていないインストール前のパソコンなら、被害額はパソコ...
-
帰る時はパソコンを仕舞う。とか? サーバー室のコンソール端末。サーバー室って結構いろいろな人が出入りするし。
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
「目的」 法律違反回避でしょっ?
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...