推薦！ISMS審査員必携アイテム

ISMS SUPPORT NETWORK

｜ISMS規格 の探検｜ISMS審査員の常識｜ISMSコンサルの常識｜ISMSカレンダー｜ご意見・お問合せ｜

ISMS関連規格 ISMS関連書籍 ISMS審査機関 コンサルタント ISMS関連法規 時代背景 ISMSとは何か ISMSの構築方法 ISMS審査の手順 ISMS審査員への道 ISMS事例研究 ISMSリファレンス ISMSサイト管理 審査員の日記 審査員必携アイテム 関連サイト ＪＩＰＤＥＣ ＵＫＡＳ Since 2004

推薦！ISMS審査員必携アイテム 審査員として活動するのに必要なアイテムを、会社オフィスで、自宅オフィスで、日常通勤で、審査出張で、ケースを分けて紹介する。審査機関にオフィスを持たず契約審査員等で自宅オフィスのみの場合は適当に読み替えていただきたい。 ■審査機関オフィス審査機関のオフィスを利用する人は少ないから参考情報として。 ◇　デスクトップPC関連 普通のＰＣ。１０万円程度の液晶モニターと１０万円程度のミニタワー。 ◇　ノートPC関連（→審査出張の項目参照） 基本的にノートＰＣでの作業は、出張審査の前、もしくは審査機関へ受診組織が出向いたときの説明等で使用するのみ。 ◇　ＩＳＭＳ規格 BS7799：2002対訳版 ISO17799ガイド ◇　ISMSマニュアル ドキュメントは膨大なのでISMSマニュアルのみ。ISMSマニュアル以下が別紙の場合は持参する。複数版出ている場合は最後に入手したもの。 ISMSマニュアル 基本方針 適用範囲 リスクアセスメント 適用宣言書 ■ 楽天で激安？ PCを買う ソーテックを買う 　 　 　 　 ■自宅オフィス ◇　デスクトップPC関連 ノートPC仕様： 重さ１KG以下のもの。 １回の充電で１日（出来れば８時間）使えるもの。 ACコード（普通付属している。） 光学マウス USBメモリ（２本） １本→審査結果を打ち出してもらうために受診部門に渡すもの。 １本→ノートPC不具合時のバックアップ用。 無線LANアダプター 有線LANケーブル（ホテルで利用） モバイル通信アダプター（今ならau winの通信カード） 　 ■通勤携帯 ◇　カバン 上記に加え、以下が収まるカバン。日帰り（通い）審査の場合は審査アイテムだけでよいが、出張審査の場合は着替え等が必要になる。従って、カバンは２種類必要と考えたい。 審査出張用：通常、２泊３日レベル。 日帰り出張用（内容的に付近地への外出も同じ） 　 ■審査出張携帯 ◇　ノートPC関連 ノートPC仕様： 重さ１KG以下のもの。 １回の充電で１日（出来れば８時間）使えるもの。 ACコード（普通付属している。） 光学マウス USBメモリ（２本） １本→審査結果を打ち出してもらうために受診部門に渡すもの。 １本→ノートPC不具合時のバックアップ用。 無線LANアダプター 有線LANケーブル（ホテルで利用） モバイル通信アダプター（今ならau winの通信カード） ◇　ＩＳＭＳ規格 BS7799：2002対訳版 ISO17799ガイド ◇　ISMSマニュアル ドキュメントは膨大なのでISMSマニュアルのみ。ISMSマニュアル以下が別紙の場合は持参する。複数版出ている場合は最後に入手したもの。 ISMSマニュアル 基本方針 適用範囲 リスクアセスメント 適用宣言書 ◇　カバン 上記に加え、以下が収まるカバン。日帰り（通い）審査の場合は審査アイテムだけでよいが、出張審査の場合は着替え等が必要になる。従って、カバンは２種類必要と考えたい。 審査出張用：通常、２泊３日レベル。 日帰り出張用（内容的に付近地への外出も同じ） ■常時携帯 ◇　審査員証 ＪＩＰＤＥＣから審査員として活動するときは常時携帯を要請。 ◇　キャッシュ カードを携帯していても現金は必要。出張先ではＡＴＭさえ利用できるタイミングが図りにくいもの。 ◇　クレジットカード ２種類。 ◇　携帯電話 予め以下登録済みとすること： 顧客窓口 審査パートナー 宿・交通機関(特にタクシー） ◇　デジタルカメラ 現場撮影用。もちろん事前了解は必要。 メモリ容量、バッテリー容量に注意。 ノートPCに抜くためのUSBケーブル。 チャージのためのアダプター ◇　ICレコーダー 今までのところ活用の場が少ない。聞きなおして反映させる時間が取れない。単なる記録扱い。 経営者インタビュー 言った言わない封じ用

序章	審査員の天国と地獄

---

　
　

審査員物語

審査員物語

もくじ

謝辞

序章

嫌な予感

再び肩たたき

SM氏の供述

Ⅰ.春

Ⅱ.夏

Ⅲ.秋

Ⅳ.冬

Ⅴ.春

Ⅵ.夏

Ⅶ.秋

Ⅷ.冬

Ⅸ.三年

Ⅹ.五年

終章

A.データ

B.年譜

C.索引

全１０章

---

	序章	Ⅰ　春	Ⅱ　夏
謝辞	2004/01-2004/03 嫌な予感 再び肩たたき 前任者とのコンタクト 礼状 降格 リストラ 人事へ注文をつける 研修 面接 オフィスK コンサルセンター	2004/04-2004/06	2004/07-2004/09

---

Ⅲ　秋	Ⅳ　冬	Ⅴ　春	Ⅳ　夏
2004/10-2004/12	2005/01-2005/03	2005/04-2005/06	2005/07-2005/09

---

Ⅶ　秋	Ⅷ　冬	Ⅸ　三年	Ⅹ　五年
2005/10-2005/12	2006/01-2006/03	2006/04-2009/03	2009/04-2014/03

---

終章	A. データ	B. 年譜	C.索引

---

　

謝辞

　

審査員になる機会が得られた。これは又一つの経験である。この経験を審査員を志す人、この業界に関心ある人と共有することにした。即ち、審査員とはどのような職業か関心のある方に、一つの経験を時間を追って事例としてお届け する。実態を理解し、審査員を志す人の一つの参考になることを期待する。新しい経験の中で出会う全ての人に感謝します。

---

2004/03/29 k0
2004/04/04 k1
2004/04/04 Last

審査費用
審査員は時給１万５千円って決まっているそうです。本当？ 組織規模が大きい場合は、審査員３人が１０日かけて、１日６時間として、１８０時間ですから、２７０万円ってとこでしょうか。認証機関としての管理費用なども乗るから、ざっと５００万円が相場かな。 規模が小さければ、２００万円ぐらいでも何とかなるのではないでしょうか。 よく知りません。これから調べてみます。

---

2004/03/25 First
2004/04/04 k1
2004/10/03 Last

認証取得手順

認証取得までの一般的な手順

　

	ここがポイント
準備段階 経営者によるセキュリテイ問題の認識と理解 組織体制、役割の設定 学習 実態把握 方針 実施計画 実施とレビュー	準備段階と入っても、経営の意志、役割責任体制の存在が必須。予算規模、人数規模でスピード感は異なるが、動き始めることが大事。 場合によってはコンサルに入ってもらうのも手。
申請から取得まで 認証機関へのコンタクト 見積もり 契約 予備審査/予行審査：模擬テストみたいなもの。 書類審査 初動審査 本審査 認証判定 登録 サーベイランス（毎年） 更新審査（３年毎） 先ずは登録までが最初のゴール。認証機関への最初のコンタクトは役割設定された組織が作られたときでも早くはない。どうせ長丁場。組織設立から３年で登録なら、まあ普通かと。 自分で１回まわして、初回レビューの後にコンタクトでもよい。認証機関にとってはずるずる振り回されないだけ、この方が理想的。それでも個々からミニマム１年、組織全体で真面目に取り組めば２年コースかと。	認証を取るには、認証機関の審査に合格しなければならない。で、先ず、どの認証機関を選択するかが問題。 長く付き合える。企業としてみてもしっかりした経営をしている。 実績がある。No.1でなくてもよいが程々の実績は欲しい。 審査の品質がよい。審査員の質と量と言ってもよい。経験年数、企業での実務実績、感性/感度、それと頭数（あたまかず。数は力なり）。 自分の会社をよく知っているところ。関連会社での実績、関連業種での実績。 育てる姿勢。厳しいだけでは駄目。他の目を恐れる余りやたら厳しいところは、プラス志向が働きにくいので遠慮する。 コンサルタント部門があると審査の客観性の問題があるから気になるが、何らかのコンサル協力の仕組みは欲しい。 要は会社の仕組みの中に正しく位置づくパートナーの資質があるかどうか。 審査員との相性？が悪ければ、即ち審査員の資質に疑問を持ったら我慢しないで認証機関の窓口に相談すること。変えてもらったほうが企業にとっても認証機関にとってもハッピー。 認証機関に疑問を持ったら、やはり変更することを真剣に考えるべきである。その意味では、企業組織の規模にもよるが、複数の認証機関を入れて、常にけん制が働くようにするのは賢明である。 それなりの規模があるのに認証機関が１社に固まっていたら何かあると踏んだ方がよい。

---

2004/03/24 First
2004/04/04 k1
2004/10/03 Last

情報セキュリテイとは
情報資産 Information Asset 機密性 Ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ 許可されたものだけがアクセスできることを確実にすること。 完全性 Ｉｎｔｅｇｒｉｔｙ 情報及び処理方法の正確さ及び完全である状態を保護すること。 可用性 Ａｖａｉｌａｂｉｌｉｔｙ 必要な時に必要な情報及び関連資産にアクセスできることを確実にすること。

---

2004/03/30 First
2004/04/04 k1
2004/10/03 Last

ISMS審査員の日記

ISMS審査員の日記　 isms

審査員を目指して悪戦苦闘する様を見たまま聞いたまま本音で語る日記です。 筆者は、無資格・無経験から出発して、只今、想像を越える困難の中、何とか日々を繋いでおります。見たくもない問題、聞きたくもない問題。これらは、これから審査員を目指す人も一つや二つは遭遇するかもしれません。 意図しないことですが内情に触れる懸念がありますので、無用な争いを避けるため限定閲覧とします。ご容赦ください。転記・転送・他言等しないことを約束できる人、オフレコを約束できる人だけが閲覧できます。 閲覧をご希望でオフレコを守れる人はメールにてご連絡ください。、ユーザーー/パスワードを連絡します。 →　メッセージお待ちしてます！←当面見合せとなりました。 登録済みの方はclick here → ISMS審査員の日記　 isms

お詫び 登録いただいた皆様へお詫び申し上げます。審査員及び審査機関は守秘義務が厳しく課せられており、いかなる形であれ不用意な情報の提供は自粛せざるを得ない状況にあります。ご希望に添えず誠に申し訳ありませんが、ＩＤ及びパスワードを変更いたしました。当面、公開できる状況にありません。ご理解いただきたくお願い申し上げます。 合掌低頭

SITE HISTORY

SITE HISTORY
Date Event A/C 2004/02/29 サイト企画 - 2004/03/10 制作開始。 - 2004/03/20 サイトマップ更新 - 2004/04/04 サイト公開 1 2004/04/11 定期更新 　 2004/09/18 トップページのデザイン見直し 256

2004/10/03 Last

ISMS認証取得企業
ISMS認証取得企業全リスト

　

マネジメントシステム国際規格

MS領域 ISO規格 JIS 国内認定機関 品質 ISO 9000 　 JAB 環境 ISO 14000 　 JAB 情報セキュリテイ ISO 17799 JIS 17799 JIPDEC 食品 　 　 　 化学物質 　 　 　 倫理	※認定機関が統一されていないのは何故か？　縦割り行政の弊害？
審査登録機関が認定を受けるのは国内の認定機関に限定されているわけではない。例えば英国UKASから認定を受けて審査業務を行うことも出来る。JAB: JIPDEC:

---

2004/03/30 First
2004/04/04 k1
2004/10/03 Last

セキュリテイリスクの想定例：

セキュリテイリスクの想定例：
機密性、完全性、可溶性が失われた時の被害の想定例

＜＞ 　 　 　 発生する事象・事件・事故 リスク・損害 個人情報、顧客機密が漏洩する。個人情報が改ざんされる。 企業としての社会的信用が失墜する。それに伴い、新たなビジネス（商談）への参加が制約される。また、既存ユーザーの離反が生じる。個人や他企業の権利侵害になり、損害賠償が要求される。 事故対策のため通常業務が停止する。 社内の重要情報が漏洩する。社内の重要情報に改ざんが起きる。 競合他社に対して不利を被る。特許等で得ることが出来た利益を喪失する。 業務を正しく遂行できない。

セキュリテイリスクの想定例：

セキュリテイリスクの想定例：
機密性、完全性、可溶性が失われた時の被害の想定例

＜＞ 　 　 　 発生する事象・事件・事故 リスク・損害 個人情報、顧客機密が漏洩する。個人情報が改ざんされる。 企業としての社会的信用が失墜する。それに伴い、新たなビジネス（商談）への参加が制約される。また、既存ユーザーの離反が生じる。個人や他企業の権利侵害になり、損害賠償が要求される。 事故対策のため通常業務が停止する。 社内の重要情報が漏洩する。社内の重要情報に改ざんが起きる。 競合他社に対して不利を被る。特許等で得ることが出来た利益を喪失する。 業務を正しく遂行できない。

情報資産
何が情報資産か。一般的な分類をベースに、我が家の情報資産を試しに洗ってみることにしよう。

情報資産の分類 情報資産 紙の文書 ソフトウエア資産 物理的資産 サービス	※分類をどの程度の細かさでやるのかが問題になることがある。それぞれの組織で管理するレベルで決めればよいが必要以上に詳細であったりラフであったりすることがある。PDCAを回す前提で比較的ラフなレベルから入るのがポイント。問題意識が希薄なままたな卸しをしても問題は見えてこない。自由に記載できる欄を残すもの一つのやり方。 ※分類と同時にリスク・アセスメントを実施することは網羅性を確保する意味で有意義であるが、実施する担当者・方法が異なるため、結果的に統合されていれば良いと考える。
情報資産リスト 情報資産分類に当たっては、情報資産リストにより 「資産名称」 「資産の所有者/管理者」 「資産の形態」 「保管場所」 「保管状態」 「利用者」 などを明確にする。 又たな卸しのための 「管理番号/資産番号」 更にたな卸しを実施した 「評価者」 「評価日」 「備考」※ も必要になる。これらは各分類について実施する。「情報資産リストのサンプル」

---

一般分類	我が家の場合
◆情報資産 情報コンテンツとして理解した方が分かりやすい。 顧客データベース マニュアル 各種管理システムデータ バックアップデータ パスワード
◆物理的資産 建物、オフィスは情報資産をおいてあるという意味で物理的に資産にカウントする。しかし、情報資産が全く絡まない建物なんて考えづらいので殆どは対象になる。 サーバー（メール/WEB/App) ファイアウオール装置 ルータ等通信装置 PC（デスクトップ/モバイル） ICカード 建物、オフィス、サーバー室 ケーブル
◆サービス
◆ソフトウエア資産 ソフトウエアツールとして理解した方が分かりやすい。 パッケージ・プログラム
◆紙の文書 手書き、ハードコピー。情報資産と結果的に重複する。特別に媒体が紙であるということ。

---

2004/03/23 First
2004/04/04 k1
2004/10/03 Last

情報とは

情報とは

ＪＩＳ　Ｘ　５０８０：２００２の定義「情報は、他の重要な授業資産と同様に、組織にとって価値がある資産であり、適切に保護する必要がある。」	「人（ひと）、物（もの）、金（かね）」に次ぐ第4の資産「情報（じょうほう）」

---

2004/03/30 First
2004/10/03 Last

背景:情報セキュリテイを取り巻く社会環境の理解

背景
情報セキュリテイを取り巻く社会環境の理解	背景 新しい生き方 新しい情報技術 新しいビジネスモデル

---

技術： コンピュータ及びネットワーク技術の発展により、高度IT環境が企業から個人や家庭の中に浸透。一人一人が情報技術の直接的な利用者になった。地球全体が集中回路化しつつある。
ビジネス： 地域に閉じたビジネスから、グローバルなビジネスに、経営者が意識しようが姉妹が、望もうが望むまいが、移行しつつある。
グローバル化 ビジネスチャンスはネットワークを利用して一気に拡大。しかし、思わぬ競合の出現する。諸刃の刃。 海外のビジネス上の法令順守が必要になる。海外に出なくても、国際標準の名の下に海外の規制を日本として受け入れざるを得なくなる。 テロやハッカーも海外からいきなり現れる。国内専門といって通用しない状況。 物流網の整備で、機械や情報や規制だけでなく、食品なども海外のものを購入するのはもはや当たり前。
価値観： 衣食住に代表される生きて行くために必要なものに対する欲求は先進国ではほぼ充足。 しかし、中身は身元のはっきりしない心配なものばかり。日本人のブランド志向は結局、安心を買っているということ。日本は安全な国だけど、それは日本人の価値観：安心を民族として実現させていたと言える。 日本でISMSが一気に普及しつつあるのはその特性に負う所も否定できまい。 アメリカは人種の坩堝でも一つの国に纏めるしかなかったから、いろいろ契約社会（紙書いて確かめる社会）を作るしかなかった。その構造がそのまま、地球規模化してきたわけです。 この動きを止めるなら、例の国のような閉鎖社会を作ってそれなりの経済水準でやるしかない。それが嫌なら、進むしかないのでしょうね。
安全な社会： よくコントロールされた安全な社会。しかも地球規模で。地球の裏側から、ミサイルや細菌やコンピュータウイルスや何が跳んでくるか分からない。 高度に連携した社会では一箇所の問題はそのまま世界に波及する。今は壊れやすい社会になっている。 国際社会の意志としての完全なガバナンスが働くことが必要。リスクを完全に押さえ込む立場。 便利さに潜む危険。最も早く伝播するウイルスがコンピュータウイルス。情報システムリスク。それへの対策が最優先。 今のISMSではCIOの観点だけを言っている。情報管理の論理としての話。コンテンツに危険が潜むことは論外になっている。やばいコンテンツは管理の対象にならないか。人類の安全のためには当然管理の対象になる。常識。時間の問題。 ビジネスとして、経営意図としての健全性を計る仕組みも、いずれ出てくる。倫理のISOなのかな？ コンテンツの健全性を確保するインフラとして多分ISMSは重い役割を持つことになろう。

---

2004/03/29 First
2004/04/04 k1
2004/10/03 Last

ISMSの世界サイトマップ

---

Why ISMS		「"ISMS"の時代背景」
1.世の中のビジネス・技術・社会の動向	・新しい生き方 ・新しいビジネス ・新しい技術	背景 新しい生き方 新しい情報技術 新しいビジネスモデル
2.情報とは		情報とは 情報セキュリテイとは 情報資産
3.情報セキュリテイ問題の現状	・事故/事件/争い ・被害額 ・背景/要因/原因 ・新聞/雑誌/WEBサイト	セキュリテイリスク想定例
4.情報セキュリテイ問題の今後	・懸念事項 ・背景/理由 ・課題	セキュリテイリスク想定例
5.情報セキュリテイ問題への取り組み （ISMSを包含した一般的な視点）	・政府/機関/団体/NPO ・企業 ・システムベンダー ・消費者/ユーザー ・取り組み経緯/歴史 ・取り組み現状 ・課題	セキュリテイリスク想定例
What ISMS		「"ISMS"とは何か」
1.ISMS認証制度の位置付け	・強制力の有無 ・他規格との棲み分け ・関連法規/規格/認証制度	セキュリテイリスク想定例 国際規格認証制度
2.ISMS認証制度の概要	・要求事項概要 ・登場者と役割（プレイヤー） ・国際/国内 ・事例等リンク	セキュリテイリスク想定例 認証審査の仕組み
3.ISMS規格要求事項	・項目番号別の解説 ・ANNEX	セキュリテイリスク想定例
4.ISMS普及状況	・統計データ ・分析及び考察	セキュリテイリスク想定例 ISMS認証取得企業の分析 ISMS認証取得事業者一覧.xls JIPDECデータ2004年02月.pdf
5.ISMS審査員	・審査員役割 ・資質・要件	セキュリテイリスク想定例
How to Establish ISMS		「"ISMS"の構築方法」
1.ISMS構築のステップ概要		認証取得手順
2.方針と体制及び適用範囲
3.リスクアセスメント/リスクマネジメント		情報資産 情報資産リストのサンプル リスクアセスメント リスクアセスメントシートサンプル
4.情報セキュリテイ技術
5.文書管理		ISMS文書
6.内部監査		ISMS文書
7.レビュー（セキュリテイレビュー）		ISMS文書
8.レビュー（コスト＆効果）		審査費用
How to Manage Audit		「"ISMS"審査の手順」
1.ISMS審査概要	・審査の基準 ・ISO19011 ・手順概要/審査プロセス ・審査チーム編成	認証取得手順 審査手順
2.書類審査	・実施概要 ・実施手順 ・ISMS文書 ・審査結果報告	審査コメントサンプル 審査コメント集.→あとでリンク
3.初動審査（第1段階審査）	・審査の基準 ・審査会実施手順 ・審査結果報告	審査コメントサンプル
4.本審査（第2段階審査）	・経営者インタビュー ・審査の基準 ・審査会実施手順	経営者インタビュー 審査コメントサンプル
5.判定委員会/登録	・概要 ・不適合時処理
6.登録の維持・更新	・概要 ・サーベイランス ・更新審査
7.レビュー計画	・期間 ・コスト ・効果	審査費用
Way to Auditor		「"ISMS"審査員への道」
1.資格/要件	・資格と基準 ・ISO19011 ・訓練機関	ISO 19011 審査研修
2.審査員へのステップ	・能力/体力 ・費用 ・期間 ・手順	ISO 19011
3.審査員の実態	・審査員登録者数 ・審査員生活者数 ・他資格審査員比較 ・併用取得状況 ・審査員の収入 ・審査員の時間
4.審査員のメリット/デメリット	・メリット ・デメリット ・決算
5.審査員ネットワーク	・研究会 ・サポートネットワーク
ISMS Case Study		「"ISMS"事例研究」
1.建設業	・構築事例 ・事故事例	セキュリテイ事件事故
2.製造業	・構築事例 ・事故事例	セキュリテイ事件事故
3.造船業	・構築事例 ・事故事例	セキュリテイ事件事故
4.金融業	・構築事例 ・事故事例	セキュリテイ事件事故
5.通信業	・構築事例 ・事故事例	セキュリテイ事件事故
Auditor Network		「"ISMS"審査員交流支援」
1.審査員紹介	・審査員のホームページ ・登録サイト
2.コミュニケーション	・掲示板
3.リクルート	・登録審査員募集 ・講演依頼 ・各認証機関窓口 ・各教育機関窓口
ISMS Reference	「ISMSデータ」	引用を基本。解説は限定。
1.関連団体	・国内 ・国際 ・国家/政府/民間	関連団体 ISO JISC JIPDEC OECD
2.関連法規	・国内 ・国際	関連法規
3.関連規格/標準/ガイドライン	・国内 ・国際	関連ガイドライン一覧 ISO 15408 ISO TR13335 (GMITS) DISC PD 3000 OECD Guidelines ISMS認証基準 プライバシーマーク制度
4.書籍/レポート	・国内 ・国際	書籍ガイド
5.フォーム・サンプル	・申請書 ・審査報告書	ISMS文書
6.ISMS用語	・英数字 ・日本語	WORD&TERM
7.ISMSカレンダー	・国内 ・国際	ISMSカレンダー
8.その他ISMSリンク
Site Management		「サイト管理」
1.本サイトの体系	・サイトマップ	サイトマップ
2.本サイトの更新履歴		SITE HISTORY
3.本サイトの狙い	・狙い/挨拶 ・セールスポイント
4.トップページ	・ウエルカム ・問い合わせ先 ・カレンダー/時刻	ISMS Auditor's Calender
5.協力プログラム	・アフリエートサイト
Specials		「スペシャル」
		審査員物語

外部の関連サイトに直接リンクさせないこと。

---

2004/03/01 First
2004/04/04 k1
2004/10/03 Last

サイト管理のページ

サイト管理のページ

このサイトの管理用のページ。

■ 　 　 「サイト管理」 1.本サイトの体系 ・サイトマップ サイトマップ 2.本サイトの更新履歴 　 SITE HISTORY 3.本サイトの狙い ・狙い/挨拶 ・セールスポイント 　 4.トップページ ・ウエルカム ・問い合わせ先 ・カレンダー/時刻 ISMS Auditor's Calender 5.協力プログラム ・アフリエートサイト 　 審査機関のオフィスを利用する人は少ないから参考情報として。

ISMSカレンダー

ISMSカレンダー

ISMS審査員がチェックする有力サイト。個人のスケジュールは企業秘密に付きご容赦ください。

■ＩＳＭＳ業界イベントカレンダー http://www.atmarkit.co.jp/news/eventcalendar/eventcalendar.php　 　 http://www.sansokan.jp/calendar/list.rb

WORD & TERM	（悪魔の辞典ISMSバージョン）
こんな用語はいくら書いてもきりがない。よく勘違いすること、行き違いが起きること、などをとりあえずピックアップ。巨大な辞書を作るのが目的ではない。

---

A	Accreditation Services		多分、認定機関
I	ISMS		イスムスって座りが悪い。他にQMSとかEMSとかの兄弟がいるらしい。
	ISMS監査
	ISMS規格	BS7799-2:2002及びJIPDEC-ISMS認証基準（Ver2.0)のことと考えてよさそう。規格とガイド類はMUSTとWANTの違い。似ているけど決定的に違うもの。	法律や世間の目はますます厳しくなるから今後はWANTからMUSTにどんどん入り込んでくる。
	ISMS文書
	ISMSマニュアル
	ISO 9000	品質に関する規格。9000シリーズ。標準規格ISO9001/9002。関連ガイドISO9004等に展開されている。
	ISO 14000
	ISO 17799	BS7799のISO版。まだガイドレベル。
	ISO 19011
J	JAB	財団法人日本適合性認定協会（略称JAB）。認証機関の認定を行う。	JABも名刺によく印刷されているマーク。JIPDECとは何が違うのか？。
O	OECD　９原則	OECDが設定したセキュリテイガイドラインの９原則 。認識原則、責任原則、応答原則、倫理原則、民主主義原則、リスク委評価原則、セキュリティ設計及び実施原則、セキュリティマネジメント原則、再評価原則。http://www.soumu.go.jp/s-news/2002/020807_13.html
く	苦情	審査登録機関に対して、その体制や活動について不服、意見、苦言を申し立てることが出来る。（多分、苦情の申し立ては善意のものであれば基本的には誰でもよい。）苦情の内容によっては、適正な審査であったかどうか問題になるケースがある。場合によっては臨時サーベイランス等の実施が必要。	こんなの当たり前。ポイントは「審査機関は苦情が寄せられた場合、正しく処理し、記録に残すこと。」ではなかろうか。
こ	更新審査	３年目の審査。途中２回のサーベイランス。	じゃ、３年目はサーベイランスは無いわけね。
さ	サーベイランス	登録後、認証機関によって行う点検。年ごとに行う更新審査の間隙を埋める定期サーベイランスと変化点への対応を点検する臨時サーベイランス、及びシステム変更サーベイランスがある。	変なカタカナ。漢字が思いつかなかったのか。点検審査とか。
	再審査	不適合項目の是正処置の完了と有効性の確認を行う。判定保留のときの審査。	審査機関としてはOKにしたものに対して再度審査するので、多分、不名誉なこと。フォローアップ審査は認証機関が認識している問題のフォローだからまあ許せる。
	残留リスクresidual risk = risk after treated	読んだままの理解で宜しい。リスクがあるから処置（リスク対応）を図り一定の改善をするがリスクが皆無になる訳ではない。残留リスクが受け入れリスク水準を下回るように頑張るわけだが経営者は受け入れリスクの水準を上げてくるのでこの活動は始まるとキリがない。
し	初動審査	書類審査を踏まえ、本審査に向けて行う審査。審査のポイントを探る。
	書類審査	ISMS関連文書の提示に基づき書類による審査を行う。	経営品質記述書はページサイズも概ね規定しているがISMSは特に設定されていない。
	審査
	審査登録	規格への適合性を審査し、確認できた場合は適合していることを（XX機関に）登録すること。
	審査登録機関		認証機関と何が違うの？
そ	組織	会社とか事業所とか団体とか。ここでは審査登録を受ける体系化された機能役割のかたまり。　適用範囲と同じに見えるが、適用範囲は物理的・地域的な観点も入る。	組織である以上、トップが誰でその意志は何かは明確なはず。ご都合でビジネス上の組織とISMSの組織を分ける場合がある。そこは要注意。
て	定期サーベイランス	年１回実施。ISMS適合状況の確認。所要日数１日程度。
	提訴	認証の登録又は維持についての決定について、審査を受けた組織・企業がIS提訴委員会に異議申し立てをすること。クレーム。提訴は文書で行う。
	提訴委員会	IS提訴委員会。受審組織、審査機関、利害関係のない外部学識経験者等で構成。提訴内容の是非・妥当性を審議する。	実際に何件ぐらいの提訴、あるいは委員会の開催があるか。また結果はどのようなものか。
と	登録証	審査登録機関が発行する規格適合証明書かな。もしくは認証登録を行ったことを証明する書類。
な	内部監査	自己監査。組織が自らを監査する。認証制度を成立させる根本イベントの一つ。網羅性の確保はこの内部監査に期待するところが大きい。	だから、認証制度では内部監査の実施内容のフォローが重要。組織自身が持つ改善能力を重要視するということ。
に	認証機関		審査登録機関と何が違うの？
	認証マーク	ISMS規格適合を示すロゴマーク。	ロゴマークでいっぱいの名刺を見ると寂しくなる。名前だけでは自信が無いのね。認証機関としてはWEBサイト用のロゴプログラムがあってもいいのですが実際はどうなんでしょう。
は	判定委員会	審査結果の妥当性を判定する。受審組織及び審査機関と利害関係のない外部委員で三分の二以上を構成。出席者３名以上で成立。	具体的にはどういう人が外部委員になっているんだろうね。継続して出席すれば利害関係が出てくるのでは？
ふ	フォローアップ審査	条件付合格の場合、条件がクリアされたかどうかを確認する。確認できなければ不合格。
へ	変更サーベイランス	システム変更サーベイランス。ISMSシステムの構造等におおきな変更があった場合に行う点検。	臨時サーベイランスと何が違うか？。臨時Sは外に要因があり、変更Sは内に要因があると理解してよさそう。
ほ	本審査
よ	予備審査/予行審査	ISO19011で要請しているわけではないが、ISMS構築レベルに不安が残る場合、本審査に向けて取り組むことの是非を判断する審査。確実に審査のステップを踏み認証取得を意図する場合も受審する。
り	リスクの物差し	リスクを何で計るか。金額換算が宜しい。
	臨時サーベイランス	苦情、事故（セキュリテイトラブル）、ISMS規格変更などが生じた場合、臨時に行う。所要日数１日程度だが、問題の大きさによっては数日となる。登録停止中の再登録に当たっても臨時サーベイランスとして実施する。	しっかりしたアンテナを持っていないといけない。その辺、その認証機関はどうなの？

---

2004/03/10 First
2004/03/25 k1
2004/10/03 Last

ISMS文書・記録

ISMSセミナーで入手した資料より。ISO９０００の品質マニュアルの体系のほうが分かりやすいので、その方向で再整理。

---

★ ISMS文書・記録 ISMSマニュアル 　 情報セキュリテイポリシー ISMS適用範囲（事業、組織、ロケーション、資産、技術の特性） ・「事業」には対象とする業務屋サービス内容を含む。 ・「組織」には対象組織全体に対する位置づけ、適用範囲外の関連部門・外部とのインターフェース（関連概要）を含む。 ・「ロケーション」には、地域的及び提供するサービスを含む。 ・「技術」にはネットワーク概略図を含む。 ISMS構築主要手順概要ISMSを構築/運用管理していく上で不可欠の主要手順概要 １）規格4.3.1文書化一般で要求されている文書/記録 ①規格の各項番で要求されている構築/管理の概要/手順 ②リスクアセスメントの手順（リスクアセスメントの結果と対応計画は提示でもよい） ③文書管理手順書（ISMS文書一覧及びISMS文書体系図を含む） ④記録管理手順書（主要記録一覧を含む） ⑤各種フォーム類 適用法令の識別 （識別結果および識別法令を守る手順を含む）「A.12.1項関連」 適用宣言書 ・選択した管理目的及び管理策ならびにそれらを選択した理由（従来から実施している管理策、従来から実施していて今回拡充した管理策、リスクアセスメントの結果新たに選択した管理策が識別できるものが望ましい）。 ・127の管理項目のうちで選択しなかった管理項目及び除外理由 ・追加の管理策（もしあれば） ・バージョン番号（登録賞に記載：必ず付与のこと。 例：V1.1　2004年3月10日） 　 記録・その他文書 　 詳細手順書/文書・記録等 １）選択した127及び追加した詳細管理策の手順 ２）内部監査詳細手順書 ３）是正処置手順書 ４）予防処置手順書 ５）事業継続管理手順書 ６）マネージメントレビュー議事録 外部文書 参照する外部文書（社内、社外）

★ ISMSマニュアル策定はV1からV2へ移行するにあたり必須要件からは除外されたが実際に運用していく上では策定しておいたほうが分かりやすい。

書籍ガイド
ISMSの推進責任者が目を通すべき書籍類の紹介を行います。本当は購入してしっかり読むべきですが経済性に配慮して基本的に立ち読み評価です。書籍情報はアマゾン社サイトより引用。

---

　

	アマゾンサイトのISMS書籍情報	立ち読み評価
	ISMS認証取得ハンドブック 斎藤 尚志 (著), NECソフトコンサルティング事業部 単行本 (2004/02) 税務経理協会	NOT YET
	ISMS/BS7799認証取得マニュアル 富士通ソーシアルサイエンスラボラトリ (編集) 単行本 (2004/01) オーム社	NOT YET
	会計事務所のためのプライバシーマーク・ISMS―Ver.2.0対応 羽生 正宗 (著) 単行本 (2003/12) エイチアンドアイ	NOT YET
	小さな会社のISMS導入手順―身の丈ほどの情報セキュリティ戦略    CK BOOKS 行本 康文 (著), 久野 康之 (著) 単行本 (2003/10) 中央経済社	NOT YET
	2時間でわかる図解 ISO17799/ISMS早わかり    2時間でわかる 白潟 敏朗 (著) 単行本 (2003/07) 中経出版	NOT YET
	ISMS認証取得ガイドブック―Ver.2.0対応版 足利 俊樹 (著), その他 単行本 (2003/06) ソフトリサーチセンター	NOT YET
	ISMS構築のための情報セキュリティポリシーとリスク管理 田渕 治樹 (著) 単行本 (2003/05) オーム社	NOT YET
	セキュリティ・マネジメント戦略―ISMSによるリスク管理 トーマツ (編集) 単行本 (2003/05) 日本経済新聞社	NOT YET
	図解入門 よくわかる最新ISMS Ver.2の基本と仕組み―ISMS適合性評価制度認証取得入門    How-nual Visual Guide Book 中野 明 (著), コミュニケーションデザインネットワークス (著) 単行本 (2003/05) 秀和システム	NOT YET
	ISMS認証基準と適合性評価の解説―ベストプラクティスに学ぶ情報セキュリティマネジメントの要点    情報セキュリティライブラリ 島田 裕次 (著), その他 単行本 (2002/11) 日科技連出版社	NOT YET
	図解入門 よくわかる最新ISMSの基本と仕組み―ISMS適合性評価制度認証取得入門    How‐nual Visual Guide Book 中野 明 (著), メディアデザイン (著) 単行本 (2002/09) 秀和システム	NOT YET
	わかりやすいISMS―情報セキュリティ管理システムの構築から認証取得まで 小寺 くれは (著), その他 単行本 (2002/08) 日経BP社	NOT YET
	経営リスクとセキュリティポリシー―ISO17799、ISMS認定の実際 楠 正宏 (著), その他 単行本 (2001/03) ソフトバンクパブリッシング	NOT YET
	情報セキュリティマネジメントの国際規格―ISO/IEC 17799:2000、BS 7799-2:2002    Management System ISO SERIES　日本規格協会 (編集), JSA= (編集)	NOT YET

---

2004/03/10 k0
2004/04/04 k1
2004/10/03 Last

関連ガイドライン一覧

---

区分	リファレンス/文書	機関	発行	概要
ISMS	BS7799-1
ISMS	BS7799-2：2002認証規格
ISMS	DISC PD 3000			DISC:Delivering Information Solution to Customer 英国規格協会の事業の一つで、文書管理、情報通信技術に関する標準規格の普及を目的にガイドブックや実践所を出版している。この事業の一環としてBS7799の認証取得に関して実践的な解説を行う文書としてPD3000シリーズが出版されている。
ISMS	ISMS認証基準	JIPDEC
	ISO 15408			製品やサービス自体のセキュリテイ基準
ISMS	ISO/IEC17799(-1)	ISO	00/08	BS7799-1, JISX5080:2002と内容的に同じもの。手引き（Guidance)及び勧告(Recommendations)。
	ISO TR13335 (GMITS)	ISO		GMITS:Guidelines for the Management of IT Security　情報技術（IT)セキュリテイマネジメントのガイドラインを提供する技術報告書。電子媒体による情報が対象。紙等の非電子媒体は対象外。
	ITセキュリテイ評価認証制度			こういうドキュメントあるの？
個人情報保護	JIS Q 15001プライバシーマーク制度	JIS	99/04/	個人情報保護に関するコンプライアンス･プログラム。プライバシーマーク･ロゴの使用許可。
セキュリテイ製品評価	JIS X 5070
ISMS	JIS X 5080			BS7799-1, ISO/IEC17799(-1)と内容的に同じもの。手引き（Guidance)及び勧告(Recommendations)。
	JIS X 5080:2000
個人情報保護	OECDプライバシーガイドライン
ISMS	OECDセキュリテイガイドライン
個人情報保護	個人情報保護ガイドライン
ISMS	コンピュータウイルス対策基準
ISMS	コンピュータ不正アクセス対策基準
ISMS	システム監査基準
	情報システム安全対策基準	経済産業省（旧通産省）
ISMS	ソフトウエア管理ガイドライン
	情報セキュリテイ総合戦略	経済産業省	03/10/10	産業構造審議会情報セキュリテイ部会にて策定答申。 http://www.meti.go.jp/policy/netsecurity/strategy.htm

---

2004/03/01 First
2004/10/03 Last