審査に出かける前に、訪問先の部署の概要を把握することは、多くの場合、WEBサイトから容易に出来る。その特徴を踏まえて、予めどの管理策についてチェックするかプランを用意することは、初心者には有効。内部監査の場合は、事務局が用意することが多いが、主体的取り組みを是とするなら、監査員自らも準備してみることは有益。もっとも、事務局が想定していない質問が出て関係部署には迷惑掛けるかもしれない。
<会議室またはテーブル>
「部署名」
「責任者」
「ミッション」~「業務概要」
「組織構成」~「上位・全体組織」・「取引先」
「重要資産」~「重要資産のプロセスフロー」
「管理体系」~「現場で利用している・認識している管理標準」
「重要資産に対する管理策※」
「インシデント・内部監査等指摘事項対応」
<現場>
「テーブル審査で現場確認したもの」
「物理的」~「施設・ゾーニング・ケーブル・鍵管理など」
「資産識別」~「ファイリング、メディア管理」
「人的管理」~「スキル、周知、個人の役割実施状況」・「誓約書など人事」・「インタビュー」
重要資産に対する管理策※
3桁レベル(A.x.x.x)で優先度を付けて10個程度*用意する。前半で確認できなかったものは現場から引き上げてから確認する。審査記録用紙の冒頭に予め記載しておいても不都合は無い。
但し、想定外の重要資産の存在が判明した場合は、その重要度を図って適切に組み替える。特に部門に固有の資産の場合は(他所で聞けないから)、優先してチェックする。この臨機応変な対応が大切。
10個程度*
10個には根拠は無い。あまり多いと現場とのやり取りからより正しい姿を引き出すことが難しくなる。会話が大事。少ないと網羅性が確保しづらくなる。10個は事前準備の量的な目安。現場対応が真の姿。
過去 1 年間
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴... -
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
-
今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
-
初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
「目的」 法律違反回避でしょっ?
人気の投稿
-
「目的」 法律違反回避でしょっ?
-
セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
-
「目的」 システムファイルのセキュリティ確保 つまらないね。
-
外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
-
情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
-
規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
-
不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
-
> 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
-
今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
-
各部署の部員が受ける教育の概要を問われる。 部員の構成を確認する。 指導的立場の人、内部監査担当、機密情報に触る人、一般部員、出入りする人・常駐する適用範囲外の人。 それぞれに求められる力量を確認する。 求める力量に対応した教育計画の存在を確認する。 実施状況を確認する。使ったテ...