管理策の当て方:
・主プレイヤー(主)はルールを作る。機能別管理をする。
・客プレイヤー(客)はルールを受け入れて実施する。
A.5:(主)経営者、事務局。(客)一般従業員。取引先。
A.6:(主)経営者、事務局。(客)部門の長。
A.7:(主)事務局。(客)一般従業員。一般部門。
A.8:(主)事務局、人事・教育部門。(客)一般部門。一般従業員。
A.9:(主)事務局。総務部門。情報部門。(客)情報部門。一般部門。
A.10:(主)情報部門。(客)情報部門。一部一般部門もあり得るがこの管理策では見ない。
A.11:(主)事務局。情報部門。一般部門。(客)情報部門。一般部門。一般従業員。
A.12:(主)情報部門。(客)情報部門。
A.13:(主)事務局。(客)情報部門。一般部門。
A.14:(主)事務局。(客)事務局。情報部門。一般部門。
A.15:(主)事務局。法務部門。(客)一般従業員。一般部門。情報部門。
部門へ行って(あるいは来て貰って)、業務概要・適用範囲・重要資産を最初に聞くときに、上記のどの管理策のチェックが重要か判断する。情報部門以外でも情報処理設備を有するときは情報部門に準じたチェックを行う。
その部門に固有の内容を優先してチェック。赤色にした部門。
質問は、直接(いきなり)規格から引き出さないで、規格要求を踏まえたルールの存在から確認する。有れば、それに沿ったチェック。無ければ無くても構わない理由、あるいはそれに関連するリスクアセスメント状況を確認する。結果が妥当ならパス(OK)。ルール上あるいは実施上の問題を認識・合意できれば指摘事項・観察事項としてあげる。
確認する手順としては、管理策に入る前に、これまでの審査・監査での指摘事項の有無、改善状況の確認を行う。改善プロセス(PDCA)が回っているかどうかの確認で最も重要な作業の1つ。
会議室テーブル上での文書と口頭説明による確認と現場の実態・状況の確認は、時間的には半々とする。UKASは現場に出ることを多くするよう指導しているから、会議室は4割程度が望ましい。ただ、その場合の問題が審査記録(メモ・エビデンス)の存在。これの充実を強要すると自然と現場に出づらくなる。審査機関によっては形式化したエビデンスの意味を見直している。
1部門90分とした場合、30分以内に全容確認・文書ベース確認、30分は現場で状況・実態確認。残り30分は全体のまとめ・記録の整理に当てる。必要なら現場チェックの補充を行う。
過去 30 日間
過去 1 年間
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
-
今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
「目的」 法律違反回避でしょっ?
人気の投稿
-
「目的」 法律違反回避でしょっ?
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
-
各部署の部員が受ける教育の概要を問われる。 部員の構成を確認する。 指導的立場の人、内部監査担当、機密情報に触る人、一般部員、出入りする人・常駐する適用範囲外の人。 それぞれに求められる力量を確認する。 求める力量に対応した教育計画の存在を確認する。 実施状況を確認する。使ったテ...