« 2006年07月 | メイン | 2006年09月 »
最近立て続けに個人情報の漏洩事故が報告されました。
一つは監査先でもう一つは取引先での事故です。
どちらもISMS認証取得企業で早速是正処置に掛かっています。
この辺りはマネジメントシステムが有効に機能しているのですが、
その発生原因はどちらとも似通った内容でした。
まず委託先の企業の従業員が自宅へ持ち帰って仕事をしたこと、
さらに自宅へのデータの持ち出しが禁止されていたこと、
どちらも悪意はなく繁盛記で忙しくやむを得ず作業をしたこと、
極めつけは自宅PCにファイル転送ソフトが入っていたこと。
ここまで来るとファイル転送ソフトの優秀さを示しているようなもので、
その性能をしらないまま真面目に仕事をした人が被害にあっています。
ただ皆さんも認識しなければならないのは両者とも処分されています。
悪意がないから許される構造にはなっていないことを意識して下さい!
情報漏洩は会社の信用を損なうだけでなく人の首が飛ぶ時代なのです。
けして人ごとではなくこれらの事故を見ないといけませんね!
ISO/IEC27001が発行されてISMSの移行監査が増えています。
監査員の目から見た移行監査のポイントを挙げておきます。
まず管理策の有効性評価が確認できること。
規格では管理策又は管理策一式と言っていますので、
133個の管理策個別でも大分類でまとめても構いません。
重要なのは管理指標が決められてデータが収集されており、
必要に応じてデータ分析(傾向と分析)されており、
マネジメントレビューに確実にインプットされていることです。
途中で止まっている事例をよく見かけます。
それから127から133に変更された管理策への対応です。
個別には過不足が発生していますので対策が必要ですが、
リスクアセスメントの見直しと同時に実施するのが有効でしょう。
ただし、不十分な点があっても改善してゆけば問題ありません。
移行期間が決められていますので早めの対策を願います!
最近内部監査員研修の依頼をよく受けます。
勿論認証取得した企業で内部監査の強化が目的です。
中にはマネジメントレビューで内部監査の指摘があがらなく、
トップから内部監査の強化を直接指示された例もあります。
確かにP−D−C−AサイクルのC(チェック)にあたる、
重要なプロセスを内部監査は担っていますので、
このプロセスの強化はとても有効であるかと思えます。
そこでネットスクエアでは内部監査員教育のご支援だけでなく、
内部監査チェックリストの作成のサポートをはじめました。
http://app.net-squares.com/iaudit/index.html
現在β版として無料で公開していますので是非使ってみて下さい。
またご意見ご質問がありましたらお気軽に
sato@net-squares.com
までご連絡下さい!
熊本へコンサルへ行った際に普賢岳が綺麗に見えていました!
有明海を挟んでの景色だったのですがとても雄大でした。
ただ頂上の辺りがギザギザで噴火の跡を物語っていました。
私は車が大好きなので片道4〜5時間のドライブで、
熊本のクライアントを訪ねたのですが、
それまでの過程(景色)がとてもよかったですね。
天気も良かったので九州の平野がさらに綺麗でした。
広島から熊本まで拠点から拠点の移動と考えると
4〜5時間はとても長い道のりだと思えるのですが、
それまでのプロセスを楽しめば結構快適ですよ。
これもプロセス重視のひとつですかね。。。
毎年の更新になりますが、今年も経済産業省の
平成18年度情報セキュリティ監査企業台帳に登録しました。
これまでの所、この台帳を通じてのご依頼はないのですが、
ネットスクエアとしては監査の実績は多くありますので、
その中から抽出した事例を含めて掲載しています。
○平成18年度情報セキュリティ監査企業台帳のページ(経済産業省)
http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html
興味がありましたら、ご参照下さい。
先日渋谷にある某ベンチャー企業に行って来ました。
一昔前渋谷新宿で起業した若者達を集めて、
ビットバレーと称したことも記憶には新しいですね。
訪問した企業はIPOを成功させ企業グループを形成していました。
オフィスも渋谷新宿が見渡せる高層階に位置しており、
スタッフは私より若い社員が多かった気がします。
弊社にもリクルートで優秀な若者が訪れてきますが、
条件面よりベンチャー精神が大切になってきますね。
他の企業と比べて○○がよいではなく○○をしたいから、
ネットスクエアに入って条件は後からでも良くしてやろう!
そう言った気概のある若者にはこちらも影響されます。
地方の企業でもIPOを成功させている事例は沢山あり、
けして首都圏での成功事例ばかりではないのですが、
地方との格差は年々感じられる今日この頃でした。
私の知人が中国で環境ビジネスをはじめようとしています。
青島で環境展示会に出展したのがきっかけみたいですが、
ネットスクエアでも上海のソフトハウスにプログラムを外注したり、
私自身今年の11月にQMSの審査に廈門に行く予定だったりと、
最近のご時世にあわせて中国ビジネスが身近になっています。
これまでも中国企業と関係がなかったわけでもなく、
いろいろと成功事例や騙された失敗事例もよく聞いています。
騙されたと言うのはきっと捉え方次第だと思うのですが、
日本と中国との商慣習や文化の違いから、
ビジネスに対する考え方や将来像が違って来るのでしょうね。
プログラム発注にしても色々と問題がありましたよ。。。
ただ巨大なマーケットを抱えている国であることは間違いなく、
また世界の工場と化している中国大陸では、
今後環境問題は国際レベルでのテーマになって行くでしょうね。
我々の車の燃料の高価格化も影響しているとか。。。
私としてもサポートして行きたいと考えています。
カーネギーメロン大学が神戸に日本校を出しています。
昨年開校されたみたいですがみなさんご存じでした!?
私は昔CMMI(プロセス成熟度)の研究をした際に、
同校のHPから論文を取り寄せて翻訳した経験があります。
その成果から高田馬場のSRC(ソフトリサーチセンター)にて、
CMM/CMMIの講師を3年間に渡り担当させて頂きました。
それがきっかけで大手コンピュータメーカー系システムハウスで、
CMMIのコンサルの契約を頂き大変貴重な経験をさせて貰いました。
同校ではソフトウェア工学に加えてセキュリティの専門家を
社会に送り出そうと米国と共同で講義を進めておられます。
ネットスクエアにもそういった学生さんに来て貰いたいですね。。。
この時期になると台風の進路によく悩まされます。
今朝も気象情報をチェックしながら1便繰り上げて空港に来ています。
この判断が微妙で新幹線にした方がいい場合もあります。
今回はどっちでしょうね。。。
今のところ台風の影響で監査が延期になったことはないのですが、
監査スケジュールを大幅に変更したことはあります。
その際にチームリーダーは大変で全ての判断が委ねられます。
それが年に何回かあるのですから厄介なものです。
さあ今回は商談と採用面接と監査が控えていますので、
目の前の飛行機よ、無事に飛んでくれ!!!
セキュア・ジャパン2006において、
「政府機関統一基準」が出されています。
各府省庁が情報セキュリティ確保のための
対策およびその基準だそうです。
何年か前にeジャパン計画と言った話を聞きましたが、
その結果NTTをはじめとしたキャリア各社が頑張り、
光ファイバーを中心としたインフラが整備されました。
今度はその上でやりとりされるセキュリティですね。
「政府機関統一基準」の内容なのですが、
ISMSの詳細管理策に比べより具体的に記述してあります。
そもそも詳細管理策は基準ではないので目的は違いますが、
この政府機関統一基準を旨く使うと標準が見えてきそうですね。
勿論我々コンサルタントは色々な組織の実例をみており、
そこからクライアントにあった管理基準を示しているのですが、
そこにコストをかけられない組織にとっては一読の価値があります。
http://www.nisc.go.jp/active/general/kijun01.html
ただし、そのまま読んで解釈できるかが問題ですね。。。
ネットスクエアではISOやISMSの認証取得のほかに
情報セキュリティポリシーの策定の依頼を受けることがあります。
一体情報セキュリティポリシーの策定ってなんぞや!?
と思ってしまうのですが。。。
通常ISMSの様なマネジメントシステムでは、
Plan-Do-Check-Actのサイクルを維持して、
継続的改善を目指してゆく訳ですから、
情報セキュリティポリシーの策定は含まれます。
それではどこまでがポリシーの策定なのでしょうか?
ポリシー文書としては基本方針、規程、実施手順等がありますが、
それれらを作成するためにはリスクアセスメントが必要です。
勿論そのリスク評価によって対策基準が変わってきます。
また決められたルールを実施するためには教育が必要です。
そしてルール通り実施しているか確認するためには監査が。。。
てな感じで進めているとISMSになってしまいますね。
基本的にはマネジメントシステムを構築して、
その中でセキュリティに取り組まないとなかなか浸透しません。
ただこのご時世ですから、
情報セキュリティポリシーの策定というご依頼で、
ポリシー文書の作成と教育を実施することもお受けしています。
あとは皆さんがどこまでやられようとしているかですね。。。