ページ

推薦!ISMS審査員必携アイテム

ISMS
SUPPORT
NETWORK
ISMS規格 の探検ISMS審査員の常識ISMSコンサルの常識ISMSカレンダーご意見・お問合せ
HOME
関連サイト
JIPDEC
UKAS
Since 2004
 

推薦!ISMS審査員必携アイテム

審査員として活動するのに必要なアイテムを、会社オフィスで、自宅オフィスで、日常通勤で、審査出張で、ケースを分けて紹介する。審査機関にオフィスを持たず契約審査員等で自宅オフィスのみの場合は適当に読み替えていただきたい。
■審査機関オフィス審査機関のオフィスを利用する人は少ないから参考情報として。

◇ デスクトップPC関連

普通のPC。10万円程度の液晶モニターと10万円程度のミニタワー。

◇ ノートPC関連(→審査出張の項目参照)

基本的にノートPCでの作業は、出張審査の前、もしくは審査機関へ受診組織が出向いたときの説明等で使用するのみ。
◇ ISMS規格
  1. BS7799:2002対訳版
  2. ISO17799ガイド
◇ ISMSマニュアル
ドキュメントは膨大なのでISMSマニュアルのみ。ISMSマニュアル以下が別紙の場合は持参する。複数版出ている場合は最後に入手したもの。
  1. ISMSマニュアル
  2. 基本方針
  3. 適用範囲
  4. リスクアセスメント
  5. 適用宣言書

Google
 
 

 

■自宅オフィス

◇ デスクトップPC関連
  1. ノートPC仕様:
    重さ1KG以下のもの。
    1回の充電で1日(出来れば8時間)使えるもの。
  2. ACコード(普通付属している。)
  3. 光学マウス
  4. USBメモリ(2本)
    1本→審査結果を打ち出してもらうために受診部門に渡すもの。
    1本→ノートPC不具合時のバックアップ用。
  5. 無線LANアダプター
  6. 有線LANケーブル(ホテルで利用)
  7. モバイル通信アダプター(今ならau winの通信カード)
 

■通勤携帯

◇ カバン
上記に加え、以下が収まるカバン。日帰り(通い)審査の場合は審査アイテムだけでよいが、出張審査の場合は着替え等が必要になる。従って、カバンは2種類必要と考えたい。
  1. 審査出張用:通常、2泊3日レベル。
  2. 日帰り出張用(内容的に付近地への外出も同じ)
 

■審査出張携帯

◇ ノートPC関連
  1. ノートPC仕様:
    重さ1KG以下のもの。
    1回の充電で1日(出来れば8時間)使えるもの。
  2. ACコード(普通付属している。)
  3. 光学マウス
  4. USBメモリ(2本)
    1本→審査結果を打ち出してもらうために受診部門に渡すもの。
    1本→ノートPC不具合時のバックアップ用。
  5. 無線LANアダプター
  6. 有線LANケーブル(ホテルで利用)
  7. モバイル通信アダプター(今ならau winの通信カード)
◇ ISMS規格
  1. BS7799:2002対訳版
  2. ISO17799ガイド
◇ ISMSマニュアル
ドキュメントは膨大なのでISMSマニュアルのみ。ISMSマニュアル以下が別紙の場合は持参する。複数版出ている場合は最後に入手したもの。
  1. ISMSマニュアル
  2. 基本方針
  3. 適用範囲
  4. リスクアセスメント
  5. 適用宣言書
◇ カバン
上記に加え、以下が収まるカバン。日帰り(通い)審査の場合は審査アイテムだけでよいが、出張審査の場合は着替え等が必要になる。従って、カバンは2種類必要と考えたい。
  1. 審査出張用:通常、2泊3日レベル。
  2. 日帰り出張用(内容的に付近地への外出も同じ)

■常時携帯

◇ 審査員証
JIPDECから審査員として活動するときは常時携帯を要請。
◇ キャッシュ
カードを携帯していても現金は必要。出張先ではATMさえ利用できるタイミングが図りにくいもの。
◇ クレジットカード
2種類。
◇ 携帯電話
予め以下登録済みとすること:
顧客窓口
審査パートナー
宿・交通機関(特にタクシー)
◇ デジタルカメラ
  1. 現場撮影用。もちろん事前了解は必要。
  2. メモリ容量、バッテリー容量に注意。
  3. ノートPCに抜くためのUSBケーブル。
  4. チャージのためのアダプター
◇ ICレコーダー
今までのところ活用の場が少ない。聞きなおして反映させる時間が取れない。単なる記録扱い。
  1. 経営者インタビュー
  2. 言った言わない封じ用
 

序章


序章

 審査員の天国と地獄
 
 
 
 
 

 
 

審査員物語

審査員物語
謝辞
序章
嫌な予感
再び肩たたき
SM氏の供述
Ⅰ.春
Ⅱ.夏
Ⅲ.秋
Ⅳ.冬
Ⅴ.春
Ⅵ.夏
Ⅶ.秋
Ⅷ.冬
Ⅸ.三年
Ⅹ.五年
終章
A.データ
B.年譜
C.索引


全10章
  序章 Ⅰ 春 Ⅱ 夏
謝辞  2004/01-2004/03 嫌な予感
再び肩たたき
前任者とのコンタクト
礼状
降格
リストラ
人事へ注文をつける
研修
面接
オフィスK
コンサルセンター		 2004/04-2004/06 2004/07-2004/09
Ⅲ 秋 Ⅳ 冬 Ⅴ 春 Ⅳ 夏
2004/10-2004/12 2005/01-2005/03 2005/04-2005/06 2005/07-2005/09
Ⅶ 秋 Ⅷ 冬 Ⅸ 三年 Ⅹ 五年
2005/10-2005/12 2006/01-2006/03 2006/04-2009/03 2009/04-2014/03
終章 A. データ B. 年譜 C.索引
       
 

謝辞

謝辞

  

 
審査員になる機会が得られた。これは又一つの経験である。この経験を審査員を志す人、この業界に関心ある人と共有することにした。即ち、審査員とはどのような職業か関心のある方に、一つの経験を時間を追って事例としてお届け する。実態を理解し、審査員を志す人の一つの参考になることを期待する。新しい経験の中で出会う全ての人に感謝します。  
   


2004/03/29 k0
2004/04/04 k1
2004/04/04 Last

審査費用

審査費用

  
審査員は時給1万5千円って決まっているそうです。本当? 組織規模が大きい場合は、審査員3人が10日かけて、1日6時間として、180時間ですから、270万円ってとこでしょうか。認証機関としての管理費用なども乗るから、ざっと500万円が相場かな。
規模が小さければ、200万円ぐらいでも何とかなるのではないでしょうか。
よく知りません。これから調べてみます。		  


2004/03/25 First
2004/04/04 k1
2004/10/03 Last

認証取得手順

認証取得手順
 
認証取得までの一般的な手順
 

 
 
ここがポイント
準備段階
  1. 経営者によるセキュリテイ問題の認識と理解
  2. 組織体制、役割の設定
  3. 学習
  4. 実態把握
  5. 方針
  6. 実施計画
  7. 実施とレビュー
  
準備段階と入っても、経営の意志、役割責任体制の存在が必須。予算規模、人数規模でスピード感は異なるが、動き始めることが大事。 場合によってはコンサルに入ってもらうのも手。
申請から取得まで
  1. 認証機関へのコンタクト
  2. 見積もり
  3. 契約
  4. 予備審査/予行審査:模擬テストみたいなもの。
  5. 書類審査
  6. 初動審査
  7. 本審査
  8. 認証判定
  9. 登録
  10. サーベイランス(毎年)
  11. 更新審査(3年毎)
先ずは登録までが最初のゴール。認証機関への最初のコンタクトは役割設定された組織が作られたときでも早くはない。どうせ長丁場。組織設立から3年で登録なら、まあ普通かと。
自分で1回まわして、初回レビューの後にコンタクトでもよい。認証機関にとってはずるずる振り回されないだけ、この方が理想的。それでも個々からミニマム1年、組織全体で真面目に取り組めば2年コースかと。
 
認証を取るには、認証機関の審査に合格しなければならない。で、先ず、どの認証機関を選択するかが問題。
  1. 長く付き合える。企業としてみてもしっかりした経営をしている。
  2. 実績がある。No.1でなくてもよいが程々の実績は欲しい。
  3. 審査の品質がよい。審査員の質と量と言ってもよい。経験年数、企業での実務実績、感性/感度、それと頭数(あたまかず。数は力なり)。
  4. 自分の会社をよく知っているところ。関連会社での実績、関連業種での実績。
  5. 育てる姿勢。厳しいだけでは駄目。他の目を恐れる余りやたら厳しいところは、プラス志向が働きにくいので遠慮する。
  6. コンサルタント部門があると審査の客観性の問題があるから気になるが、何らかのコンサル協力の仕組みは欲しい。
  7. 要は会社の仕組みの中に正しく位置づくパートナーの資質があるかどうか。
審査員との相性?が悪ければ、即ち審査員の資質に疑問を持ったら我慢しないで認証機関の窓口に相談すること。変えてもらったほうが企業にとっても認証機関にとってもハッピー。
認証機関に疑問を持ったら、やはり変更することを真剣に考えるべきである。その意味では、企業組織の規模にもよるが、複数の認証機関を入れて、常にけん制が働くようにするのは賢明である。
それなりの規模があるのに認証機関が1社に固まっていたら何かあると踏んだ方がよい。

2004/03/24 First
2004/04/04 k1
2004/10/03 Last

情報セキュリテイとは

情報セキュリテイとは

  
情報資産
Information Asset
機密性 Confidentiality
許可されたものだけがアクセスできることを確実にすること。		 完全性 Integrity
情報及び処理方法の正確さ及び完全である状態を保護すること。		 可用性 Availability
必要な時に必要な情報及び関連資産にアクセスできることを確実にすること。
 
   
   

2004/03/30 First
2004/04/04 k1
2004/10/03 Last

ISMS審査員の日記

ISMS審査員の日記  isms

審査員を目指して悪戦苦闘する様を見たまま聞いたまま本音で語る日記です。 筆者は、無資格・無経験から出発して、只今、想像を越える困難の中、何とか日々を繋いでおります。見たくもない問題、聞きたくもない問題。これらは、これから審査員を目指す人も一つや二つは遭遇するかもしれません。 意図しないことですが内情に触れる懸念がありますので、無用な争いを避けるため限定閲覧とします。ご容赦ください。転記・転送・他言等しないことを約束できる人、オフレコを約束できる人だけが閲覧できます。
閲覧をご希望でオフレコを守れる人はメールにてご連絡ください。、ユーザーー/パスワードを連絡します。
 メッセージお待ちしてます!←当面見合せとなりました。
登録済みの方はclick here → ISMS審査員の日記  isms
 
Google 

お詫び

登録いただいた皆様へお詫び申し上げます。審査員及び審査機関は守秘義務が厳しく課せられており、いかなる形であれ不用意な情報の提供は自粛せざるを得ない状況にあります。ご希望に添えず誠に申し訳ありませんが、ID及びパスワードを変更いたしました。当面、公開できる状況にありません。ご理解いただきたくお願い申し上げます。
合掌低頭

SITE HISTORY

SITE HISTORY 
DateEventA/C
2004/02/29サイト企画-
2004/03/10制作開始。-
2004/03/20サイトマップ更新-
2004/04/04サイト公開1
2004/04/11定期更新 
2004/09/18トップページのデザイン見直し256
 

2004/10/03 Last

ISMS認証取得企業

ISMS認証取得企業

 
ISMS認証取得企業全リスト 

 

マネジメントシステム国際規格

マネジメントシステム国際規格

 
MS領域ISO規格JIS国内認定機関
品質ISO 9000 JAB
環境ISO 14000 JAB
情報セキュリテイISO 17799JIS 17799JIPDEC
食品   
化学物質   
倫理   
※認定機関が統一されていないのは何故か? 縦割り行政の弊害?
審査登録機関が認定を受けるのは国内の認定機関に限定されているわけではない。例えば英国UKASから認定を受けて審査業務を行うことも出来る。JAB:
JIPDEC:		 

2004/03/30 First
2004/04/04 k1
2004/10/03 Last

セキュリテイリスクの想定例:


セキュリテイリスクの想定例:
機密性、完全性、可溶性が失われた時の被害の想定例
  
<> 
  
発生する事象・事件・事故リスク・損害
個人情報、顧客機密が漏洩する。個人情報が改ざんされる。企業としての社会的信用が失墜する。それに伴い、新たなビジネス(商談)への参加が制約される。また、既存ユーザーの離反が生じる。個人や他企業の権利侵害になり、損害賠償が要求される。
事故対策のため通常業務が停止する。
社内の重要情報が漏洩する。社内の重要情報に改ざんが起きる。競合他社に対して不利を被る。特許等で得ることが出来た利益を喪失する。
業務を正しく遂行できない。
  
  
 

セキュリテイリスクの想定例:


セキュリテイリスクの想定例:
機密性、完全性、可溶性が失われた時の被害の想定例
  
<> 
  
発生する事象・事件・事故リスク・損害
個人情報、顧客機密が漏洩する。個人情報が改ざんされる。企業としての社会的信用が失墜する。それに伴い、新たなビジネス(商談)への参加が制約される。また、既存ユーザーの離反が生じる。個人や他企業の権利侵害になり、損害賠償が要求される。
事故対策のため通常業務が停止する。
社内の重要情報が漏洩する。社内の重要情報に改ざんが起きる。競合他社に対して不利を被る。特許等で得ることが出来た利益を喪失する。
業務を正しく遂行できない。
  
  
 

情報資産

情報資産

 
何が情報資産か。一般的な分類をベースに、我が家の情報資産を試しに洗ってみることにしよう。 
情報資産の分類
  1. 情報資産
  2. 紙の文書
  3. ソフトウエア資産
  4. 物理的資産
  5. サービス
※分類をどの程度の細かさでやるのかが問題になることがある。それぞれの組織で管理するレベルで決めればよいが必要以上に詳細であったりラフであったりすることがある。PDCAを回す前提で比較的ラフなレベルから入るのがポイント。問題意識が希薄なままたな卸しをしても問題は見えてこない。自由に記載できる欄を残すもの一つのやり方。
※分類と同時にリスク・アセスメントを実施することは網羅性を確保する意味で有意義であるが、実施する担当者・方法が異なるため、結果的に統合されていれば良いと考える。
 情報資産リスト
情報資産分類に当たっては、情報資産リストにより
  • 「資産名称」
  • 「資産の所有者/管理者」
  • 「資産の形態」
  • 「保管場所」
  • 「保管状態」
  • 「利用者」
などを明確にする。
又たな卸しのための
  • 「管理番号/資産番号」
更にたな卸しを実施した
  • 「評価者」
  • 「評価日」
  • 「備考」※
も必要になる。これらは各分類について実施する。「情報資産リストのサンプル

一般分類我が家の場合
◆情報資産
情報コンテンツとして理解した方が分かりやすい。
  • 顧客データベース
  • マニュアル
  • 各種管理システムデータ
  • バックアップデータ
  • パスワード
 
◆物理的資産
建物、オフィスは情報資産をおいてあるという意味で物理的に資産にカウントする。しかし、情報資産が全く絡まない建物なんて考えづらいので殆どは対象になる。
  • サーバー(メール/WEB/App)
  • ファイアウオール装置
  • ルータ等通信装置
  • PC(デスクトップ/モバイル)
  • ICカード
  • 建物、オフィス、サーバー室
  • ケーブル
 
◆サービス
 
◆ソフトウエア資産
ソフトウエアツールとして理解した方が分かりやすい。
  • パッケージ・プログラム
 
◆紙の文書
手書き、ハードコピー。情報資産と結果的に重複する。特別に媒体が紙であるということ。
 
2004/03/23 First
2004/04/04 k1
2004/10/03 Last

情報とは


情報とは
JIS X 5080:2002の定義「情報は、他の重要な授業資産と同様に、組織にとって価値がある資産であり、適切に保護する必要がある。」
 
 
「人(ひと)、物(もの)、金(かね)」に次ぐ第4の資産「情報(じょうほう)」
  
2004/03/30 First
2004/10/03 Last

背景:情報セキュリテイを取り巻く社会環境の理解

背景 
情報セキュリテイを取り巻く社会環境の理解

技術:

コンピュータ及びネットワーク技術の発展により、高度IT環境が企業から個人や家庭の中に浸透。一人一人が情報技術の直接的な利用者になった。地球全体が集中回路化しつつある。
 		 

ビジネス:

地域に閉じたビジネスから、グローバルなビジネスに、経営者が意識しようが姉妹が、望もうが望むまいが、移行しつつある。
 		 

グローバル化

ビジネスチャンスはネットワークを利用して一気に拡大。しかし、思わぬ競合の出現する。諸刃の刃。
海外のビジネス上の法令順守が必要になる。海外に出なくても、国際標準の名の下に海外の規制を日本として受け入れざるを得なくなる。
テロやハッカーも海外からいきなり現れる。国内専門といって通用しない状況。
物流網の整備で、機械や情報や規制だけでなく、食品なども海外のものを購入するのはもはや当たり前。
 		 

価値観:

衣食住に代表される生きて行くために必要なものに対する欲求は先進国ではほぼ充足。
しかし、中身は身元のはっきりしない心配なものばかり。日本人のブランド志向は結局、安心を買っているということ。日本は安全な国だけど、それは日本人の価値観:安心を民族として実現させていたと言える。
日本でISMSが一気に普及しつつあるのはその特性に負う所も否定できまい。
アメリカは人種の坩堝でも一つの国に纏めるしかなかったから、いろいろ契約社会(紙書いて確かめる社会)を作るしかなかった。その構造がそのまま、地球規模化してきたわけです。
この動きを止めるなら、例の国のような閉鎖社会を作ってそれなりの経済水準でやるしかない。それが嫌なら、進むしかないのでしょうね。
 		 

安全な社会:

よくコントロールされた安全な社会。しかも地球規模で。地球の裏側から、ミサイルや細菌やコンピュータウイルスや何が跳んでくるか分からない。
高度に連携した社会では一箇所の問題はそのまま世界に波及する。今は壊れやすい社会になっている。
国際社会の意志としての完全なガバナンスが働くことが必要。リスクを完全に押さえ込む立場。
便利さに潜む危険。最も早く伝播するウイルスがコンピュータウイルス。情報システムリスク。それへの対策が最優先。
今のISMSではCIOの観点だけを言っている。情報管理の論理としての話。コンテンツに危険が潜むことは論外になっている。やばいコンテンツは管理の対象にならないか。人類の安全のためには当然管理の対象になる。常識。時間の問題。
ビジネスとして、経営意図としての健全性を計る仕組みも、いずれ出てくる。倫理のISOなのかな?
コンテンツの健全性を確保するインフラとして多分ISMSは重い役割を持つことになろう。
 		 
  
2004/03/29 First
2004/04/04 k1
2004/10/03 Last

ISMSの世界サイトマップ

ISMSの世界サイトマップ

 

Why ISMS  
"ISMS"の時代背景」
1.世の中のビジネス・技術・社会の動向・新しい生き方
・新しいビジネス
・新しい技術
2.情報とは 
3.情報セキュリテイ問題の現状・事故/事件/争い
・被害額
・背景/要因/原因
・新聞/雑誌/WEBサイト		セキュリテイリスク想定例
4.情報セキュリテイ問題の今後・懸念事項
・背景/理由
・課題		セキュリテイリスク想定例
5.情報セキュリテイ問題への取り組み
(ISMSを包含した一般的な視点)		・政府/機関/団体/NPO
・企業
・システムベンダー
・消費者/ユーザー
・取り組み経緯/歴史
・取り組み現状
・課題		セキュリテイリスク想定例
What ISMS  
"ISMS"とは何か」
1.ISMS認証制度の位置付け・強制力の有無
・他規格との棲み分け
・関連法規/規格/認証制度		セキュリテイリスク想定例
2.ISMS認証制度の概要・要求事項概要
・登場者と役割(プレイヤー)
・国際/国内
・事例等リンク		セキュリテイリスク想定例
3.ISMS規格要求事項・項目番号別の解説
・ANNEX		セキュリテイリスク想定例
4.ISMS普及状況・統計データ
・分析及び考察		セキュリテイリスク想定例
ISMS認証取得企業の分析
ISMS認証取得事業者一覧.xls
JIPDECデータ2004年02月.pdf
5.ISMS審査員・審査員役割
・資質・要件		セキュリテイリスク想定例
How to Establish ISMS  
"ISMS"の構築方法」
1.ISMS構築のステップ概要 認証取得手順
2.方針と体制及び適用範囲  
3.リスクアセスメント/リスクマネジメント 情報資産
情報資産リストのサンプル
リスクアセスメント
リスクアセスメントシートサンプル
4.情報セキュリテイ技術  
5.文書管理 ISMS文書
6.内部監査 ISMS文書
7.レビュー(セキュリテイレビュー) ISMS文書
8.レビュー(コスト&効果) 審査費用
How to Manage Audit 
"ISMS"審査の手順」
1.ISMS審査概要 ・審査の基準
・ISO19011
・手順概要/審査プロセス
・審査チーム編成		認証取得手順
審査手順
2.書類審査・実施概要
・実施手順
・ISMS文書
・審査結果報告		審査コメントサンプル
審査コメント集.→あとでリンク 
3.初動審査(第1段階審査)・審査の基準
・審査会実施手順
・審査結果報告		審査コメントサンプル
4.本審査(第2段階審査)・経営者インタビュー
・審査の基準
・審査会実施手順		経営者インタビュー
審査コメントサンプル
5.判定委員会/登録・概要
・不適合時処理		 
6.登録の維持・更新・概要
・サーベイランス
・更新審査		 
7.レビュー計画・期間
・コスト
・効果		審査費用
Way to Auditor  
"ISMS"審査員への道」
1.資格/要件・資格と基準
・ISO19011
・訓練機関		ISO 19011
審査研修
2.審査員へのステップ・能力/体力
・費用
・期間
・手順		ISO 19011
3.審査員の実態・審査員登録者数
・審査員生活者数
・他資格審査員比較
・併用取得状況
・審査員の収入
・審査員の時間		 
4.審査員のメリット/デメリット・メリット
・デメリット
・決算		 
5.審査員ネットワーク・研究会
・サポートネットワーク		 
ISMS Case Study  
"ISMS"事例研究」
1.建設業・構築事例
・事故事例		セキュリテイ事件事故
2.製造業・構築事例
・事故事例		セキュリテイ事件事故
3.造船業・構築事例
・事故事例		セキュリテイ事件事故
4.金融業・構築事例
・事故事例		セキュリテイ事件事故
5.通信業・構築事例
・事故事例		セキュリテイ事件事故
Auditor Network  
"ISMS"審査員交流支援」
1.審査員紹介・審査員のホームページ
・登録サイト		 
2.コミュニケーション・掲示板 
3.リクルート・登録審査員募集
・講演依頼
・各認証機関窓口
・各教育機関窓口		 
ISMS Reference 「ISMSデータ」引用を基本。解説は限定。
1.関連団体・国内
・国際
・国家/政府/民間
2.関連法規・国内
・国際		関連法規
3.関連規格/標準/ガイドライン・国内
・国際
4.書籍/レポート・国内
・国際		書籍ガイド
5.フォーム・サンプル・申請書
・審査報告書		ISMS文書
6.ISMS用語・英数字
・日本語		WORD&TERM
7.ISMSカレンダー・国内
・国際		ISMSカレンダー
8.その他ISMSリンク  
Site Management  
「サイト管理」
1.本サイトの体系・サイトマップサイトマップ
2.本サイトの更新履歴 SITE HISTORY
3.本サイトの狙い・狙い/挨拶
・セールスポイント		 
4.トップページ・ウエルカム
・問い合わせ先
・カレンダー/時刻		ISMS Auditor's Calender
5.協力プログラム・アフリエートサイト 
Specials  
「スペシャル」
  審査員物語
外部の関連サイトに直接リンクさせないこと。

2004/03/01 First
2004/04/04 k1
2004/10/03 Last

サイト管理のページ


サイト管理のページ

このサイトの管理用のページ。

  
「サイト管理」
1.本サイトの体系・サイトマップサイトマップ
2.本サイトの更新履歴 SITE HISTORY
3.本サイトの狙い・狙い/挨拶
・セールスポイント		 
4.トップページ・ウエルカム
・問い合わせ先
・カレンダー/時刻		ISMS Auditor's Calender
5.協力プログラム・アフリエートサイト 
審査機関のオフィスを利用する人は少ないから参考情報として。

ISMSカレンダー


ISMSカレンダー

ISMS審査員がチェックする有力サイト。個人のスケジュールは企業秘密に付きご容赦ください。

■ISMS業界イベントカレンダー

http://www.atmarkit.co.jp/news/eventcalendar/eventcalendar.php 
 
http://www.sansokan.jp/calendar/list.rb 
 

WORD & TERM

WORD & TERM

(悪魔の辞典ISMSバージョン)
こんな用語はいくら書いてもきりがない。よく勘違いすること、行き違いが起きること、などをとりあえずピックアップ。巨大な辞書を作るのが目的ではない。 

AAccreditation Services 多分、認定機関
IISMS イスムスって座りが悪い。他にQMSとかEMSとかの兄弟がいるらしい。
 ISMS監査  
 ISMS規格BS7799-2:2002及びJIPDEC-ISMS認証基準(Ver2.0)のことと考えてよさそう。規格とガイド類はMUSTとWANTの違い。似ているけど決定的に違うもの。法律や世間の目はますます厳しくなるから今後はWANTからMUSTにどんどん入り込んでくる。
 ISMS文書  
 ISMSマニュアル  
 ISO 9000品質に関する規格。9000シリーズ。標準規格ISO9001/9002。関連ガイドISO9004等に展開されている。 
 ISO 14000  
 ISO 17799BS7799のISO版。まだガイドレベル。 
 ISO 19011  
JJAB財団法人日本適合性認定協会(略称JAB)。認証機関の認定を行う。JABも名刺によく印刷されているマーク。JIPDECとは何が違うのか?。
OOECD 9原則OECDが設定したセキュリテイガイドラインの9原則 。認識原則、責任原則、応答原則、倫理原則、民主主義原則、リスク委評価原則、セキュリティ設計及び実施原則、セキュリティマネジメント原則、再評価原則。http://www.soumu.go.jp/s-news/2002/020807_13.html 
苦情審査登録機関に対して、その体制や活動について不服、意見、苦言を申し立てることが出来る。(多分、苦情の申し立ては善意のものであれば基本的には誰でもよい。)苦情の内容によっては、適正な審査であったかどうか問題になるケースがある。場合によっては臨時サーベイランス等の実施が必要。こんなの当たり前。ポイントは「審査機関は苦情が寄せられた場合、正しく処理し、記録に残すこと。」ではなかろうか。
更新審査3年目の審査。途中2回のサーベイランス。じゃ、3年目はサーベイランスは無いわけね。
サーベイランス登録後、認証機関によって行う点検。年ごとに行う更新審査の間隙を埋める定期サーベイランスと変化点への対応を点検する臨時サーベイランス、及びシステム変更サーベイランスがある。変なカタカナ。漢字が思いつかなかったのか。点検審査とか。
 再審査不適合項目の是正処置の完了と有効性の確認を行う。判定保留のときの審査。審査機関としてはOKにしたものに対して再度審査するので、多分、不名誉なこと。フォローアップ審査は認証機関が認識している問題のフォローだからまあ許せる。
 残留リスクresidual risk = risk after treated読んだままの理解で宜しい。リスクがあるから処置(リスク対応)を図り一定の改善をするがリスクが皆無になる訳ではない。残留リスクが受け入れリスク水準を下回るように頑張るわけだが経営者は受け入れリスクの水準を上げてくるのでこの活動は始まるとキリがない。 
初動審査書類審査を踏まえ、本審査に向けて行う審査。審査のポイントを探る。 
 書類審査ISMS関連文書の提示に基づき書類による審査を行う。経営品質記述書はページサイズも概ね規定しているがISMSは特に設定されていない。
 審査  
 審査登録規格への適合性を審査し、確認できた場合は適合していることを(XX機関に)登録すること。 
 審査登録機関 認証機関と何が違うの?
組織会社とか事業所とか団体とか。ここでは審査登録を受ける体系化された機能役割のかたまり。 適用範囲と同じに見えるが、適用範囲は物理的・地域的な観点も入る。組織である以上、トップが誰でその意志は何かは明確なはず。ご都合でビジネス上の組織とISMSの組織を分ける場合がある。そこは要注意。
定期サーベイランス年1回実施。ISMS適合状況の確認。所要日数1日程度。 
 提訴認証の登録又は維持についての決定について、審査を受けた組織・企業がIS提訴委員会に異議申し立てをすること。クレーム。提訴は文書で行う。 
 提訴委員会IS提訴委員会。受審組織、審査機関、利害関係のない外部学識経験者等で構成。提訴内容の是非・妥当性を審議する。実際に何件ぐらいの提訴、あるいは委員会の開催があるか。また結果はどのようなものか。
登録証審査登録機関が発行する規格適合証明書かな。もしくは認証登録を行ったことを証明する書類。 
内部監査自己監査。組織が自らを監査する。認証制度を成立させる根本イベントの一つ。網羅性の確保はこの内部監査に期待するところが大きい。だから、認証制度では内部監査の実施内容のフォローが重要。組織自身が持つ改善能力を重要視するということ。
認証機関 審査登録機関と何が違うの?
 認証マークISMS規格適合を示すロゴマーク。ロゴマークでいっぱいの名刺を見ると寂しくなる。名前だけでは自信が無いのね。認証機関としてはWEBサイト用のロゴプログラムがあってもいいのですが実際はどうなんでしょう。
判定委員会審査結果の妥当性を判定する。受審組織及び審査機関と利害関係のない外部委員で三分の二以上を構成。出席者3名以上で成立。具体的にはどういう人が外部委員になっているんだろうね。継続して出席すれば利害関係が出てくるのでは?
フォローアップ審査条件付合格の場合、条件がクリアされたかどうかを確認する。確認できなければ不合格。 
変更サーベイランスシステム変更サーベイランス。ISMSシステムの構造等におおきな変更があった場合に行う点検。臨時サーベイランスと何が違うか?。臨時Sは外に要因があり、変更Sは内に要因があると理解してよさそう。
本審査  
予備審査/予行審査ISO19011で要請しているわけではないが、ISMS構築レベルに不安が残る場合、本審査に向けて取り組むことの是非を判断する審査。確実に審査のステップを踏み認証取得を意図する場合も受審する。 
リスクの物差しリスクを何で計るか。金額換算が宜しい。 
 臨時サーベイランス苦情、事故(セキュリテイトラブル)、ISMS規格変更などが生じた場合、臨時に行う。所要日数1日程度だが、問題の大きさによっては数日となる。登録停止中の再登録に当たっても臨時サーベイランスとして実施する。しっかりしたアンテナを持っていないといけない。その辺、その認証機関はどうなの?

2004/03/10 First
2004/03/25 k1
2004/10/03 Last

ISMS文書・記録

 
ISMSセミナーで入手した資料より。ISO9000の品質マニュアルの体系のほうが分かりやすいので、その方向で再整理。 



ISMS文書・記録
ISMSマニュアル
 
  1. 情報セキュリテイポリシー
  2. ISMS適用範囲(事業、組織、ロケーション、資産、技術の特性)
    ・「事業」には対象とする業務屋サービス内容を含む。
    ・「組織」には対象組織全体に対する位置づけ、適用範囲外の関連部門・外部とのインターフェース(関連概要)を含む。
    ・「ロケーション」には、地域的及び提供するサービスを含む。
    ・「技術」にはネットワーク概略図を含む。
  3. ISMS構築主要手順概要ISMSを構築/運用管理していく上で不可欠の主要手順概要
    1)規格4.3.1文書化一般で要求されている文書/記録
    ①規格の各項番で要求されている構築/管理の概要/手順
    ②リスクアセスメントの手順(リスクアセスメントの結果と対応計画は提示でもよい)
    ③文書管理手順書(ISMS文書一覧及びISMS文書体系図を含む)
    ④記録管理手順書(主要記録一覧を含む)
    ⑤各種フォーム類
  4. 適用法令の識別
    (識別結果および識別法令を守る手順を含む)「A.12.1項関連」
  5. 適用宣言書
    ・選択した管理目的及び管理策ならびにそれらを選択した理由(従来から実施している管理策、従来から実施していて今回拡充した管理策、リスクアセスメントの結果新たに選択した管理策が識別できるものが望ましい)。
    ・127の管理項目のうちで選択しなかった管理項目及び除外理由
    ・追加の管理策(もしあれば)
    ・バージョン番号(登録賞に記載:必ず付与のこと。
    例:V1.1 2004年3月10日)
     
記録・その他文書
 
  1. 詳細手順書/文書・記録等
    1)選択した127及び追加した詳細管理策の手順
    2)内部監査詳細手順書
    3)是正処置手順書
    4)予防処置手順書
    5)事業継続管理手順書
    6)マネージメントレビュー議事録
  2. 外部文書
    参照する外部文書(社内、社外)

ISMSマニュアル策定はV1からV2へ移行するにあたり必須要件からは除外されたが実際に運用していく上では策定しておいたほうが分かりやすい。

書籍ガイド

書籍ガイド

 
 
 
 
ISMSの推進責任者が目を通すべき書籍類の紹介を行います。本当は購入してしっかり読むべきですが経済性に配慮して基本的に立ち読み評価です。書籍情報はアマゾン社サイトより引用。 


 
 Amazon.co.jp
アマゾンサイトのISMS書籍情報
立ち読み評価
ISMS認証取得ハンドブック
斎藤 尚志 (著), NECソフトコンサルティング事業部 単行本 (2004/02) 税務経理協会		NOT YET
ISMS/BS7799認証取得マニュアル
富士通ソーシアルサイエンスラボラトリ (編集) 単行本 (2004/01) オーム社		NOT YET
会計事務所のためのプライバシーマーク・ISMS―Ver.2.0対応
羽生 正宗 (著) 単行本 (2003/12) エイチアンドアイ		NOT YET
小さな会社のISMS導入手順―身の丈ほどの情報セキュリティ戦略    CK BOOKS
行本 康文 (著), 久野 康之 (著) 単行本 (2003/10) 中央経済社		NOT YET
 2時間でわかる図解 ISO17799/ISMS早わかり    2時間でわかる
白潟 敏朗 (著) 単行本 (2003/07) 中経出版		NOT YET
ISMS認証取得ガイドブック―Ver.2.0対応版
足利 俊樹 (著), その他 単行本 (2003/06) ソフトリサーチセンター		NOT YET
ISMS構築のための情報セキュリティポリシーとリスク管理
田渕 治樹 (著) 単行本 (2003/05) オーム社		NOT YET
セキュリティ・マネジメント戦略―ISMSによるリスク管理
トーマツ (編集) 単行本 (2003/05) 日本経済新聞社		NOT YET
図解入門 よくわかる最新ISMS Ver.2の基本と仕組み―ISMS適合性評価制度認証取得入門    How-nual Visual Guide Book 中野 明 (著), コミュニケーションデザインネットワークス (著) 単行本 (2003/05) 秀和システムNOT YET
ISMS認証基準と適合性評価の解説―ベストプラクティスに学ぶ情報セキュリティマネジメントの要点    情報セキュリティライブラリ 島田 裕次 (著), その他 単行本 (2002/11) 日科技連出版社NOT YET
図解入門 よくわかる最新ISMSの基本と仕組み―ISMS適合性評価制度認証取得入門    How‐nual Visual Guide Book
中野 明 (著), メディアデザイン (著) 単行本 (2002/09) 秀和システム		NOT YET
わかりやすいISMS―情報セキュリティ管理システムの構築から認証取得まで
小寺 くれは (著), その他 単行本 (2002/08) 日経BP社		NOT YET
経営リスクとセキュリティポリシー―ISO17799、ISMS認定の実際
楠 正宏 (著), その他 単行本 (2001/03) ソフトバンクパブリッシング		NOT YET
 情報セキュリティマネジメントの国際規格―ISO/IEC 17799:2000、BS 7799-2:2002    Management System ISO SERIES 日本規格協会 (編集), JSA= (編集)NOT YET

2004/03/10 k0
2004/04/04 k1
2004/10/03 Last

関連ガイドライン一覧

関連ガイドライン一覧

 

区分リファレンス/文書機関発行概要
ISMSBS7799-1   
ISMSBS7799-2:2002認証規格   
ISMSDISC PD 3000  DISC:Delivering Information Solution to Customer 英国規格協会の事業の一つで、文書管理、情報通信技術に関する標準規格の普及を目的にガイドブックや実践所を出版している。この事業の一環としてBS7799の認証取得に関して実践的な解説を行う文書としてPD3000シリーズが出版されている。
ISMSISMS認証基準JIPDEC  
 ISO 15408  製品やサービス自体のセキュリテイ基準
ISMSISO/IEC17799(-1)ISO00/08BS7799-1, JISX5080:2002と内容的に同じもの。手引き(Guidance)及び勧告(Recommendations)。
 ISO TR13335 (GMITS)ISO GMITS:Guidelines for the Management of IT Security 情報技術(IT)セキュリテイマネジメントのガイドラインを提供する技術報告書。電子媒体による情報が対象。紙等の非電子媒体は対象外。
 ITセキュリテイ評価認証制度  こういうドキュメントあるの?
個人情報保護JIS Q 15001プライバシーマーク制度JIS99/04/個人情報保護に関するコンプライアンス・プログラム。プライバシーマーク・ロゴの使用許可。
セキュリテイ製品評価JIS X 5070   
ISMSJIS X 5080  BS7799-1, ISO/IEC17799(-1)と内容的に同じもの。手引き(Guidance)及び勧告(Recommendations)。
 JIS X 5080:2000   
個人情報保護OECDプライバシーガイドライン   
ISMSOECDセキュリテイガイドライン   
個人情報保護個人情報保護ガイドライン   
ISMSコンピュータウイルス対策基準   
ISMSコンピュータ不正アクセス対策基準   
ISMSシステム監査基準   
 情報システム安全対策基準経済産業省(旧通産省)  
ISMSソフトウエア管理ガイドライン   
 情報セキュリテイ総合戦略経済産業省03/10/10産業構造審議会情報セキュリテイ部会にて策定答申。
http://www.meti.go.jp/policy/netsecurity/strategy.htm 
2004/03/01 First
2004/10/03 Last
登録: 投稿 (Atom)

人気の投稿:週間

  • 審査研修
    審査研修 TRAINING OF AUDIT◆審査員になるには ルールはJIPDECのホームページに記載あり。→ここ( ISMS審査員評価登録 ) 簡単な手順としては、審査員の教育についてオーソライズされた機関で、教育を受ける。終了テストがある。それに合格する。審査員補...
  • 推薦!ISMSコンサルタント
    推薦!ISMSコンサルタント ■ LARGE      大手企業。人数が多く、実績が多く、品質や環境など他の規格も含めた総合的なコンサルが受けられる。サイト数が多い場合や海外に事業所がある場合の対応も可能。 ■      ■      ■ MEDIUM ...
  • はじめに
    はじめに リニューアルの序言 審査員に最も求められるのは人間性です。どのような審査員を目指すかは心がけ次第です。尊敬に値する審査員になるには人間性の充実は欠かせません。 力量をパフォーマンスと捉え、審査をイベントと解して、まるで道化師のような審査員にお目にかかると失笑...
  • ISMS審査員の必読書
    ISMS審査員の必読書 一般的な解説書はアマゾンで検索して探してください。どの解説書でも一定の理解は得ることが出来ます。間違いも多いと思います。限られた経験の中で、自分なりに租借してもので、他の人の理解とはずれがあります。共著はチャプターを分担しているので文章の纏まり感がな...
  • 情報資産
    情報資産   何が情報資産か。一般的な分類をベースに、我が家の情報資産を試しに洗ってみることにしよう。   情報資産の分類 情報資産 紙の文書 ソフトウエア資産 物理的資産 サービス ※分類をどの程度の細かさでやるのかが問題になることがある。それ...
  • ISMSを選択する理由
    ■   「ISMSを選択する理由」 ISMSを要請する時代背景の理解。もはや常識かな? ■       時代背景 ここでは現在の情報化社会についての基本的な動向を踏まえ、情報セキュリテイ問題に取り組むことへの背景を理解する。情報技術の発展がビジネス、働き...
  • 認証取得手順
    認証取得手順   認証取得までの一般的な手順       ここがポイント 準備段階 経営者によるセキュリテイ問題の認識と理解 組織体制、役割の設定 学習 実態把握 方針 実施計画 実施とレビュー   準備段階と入っても、...
  • ISMS認証審査の仕組み
    ISMS認証審査の仕組み   ISMS認証審査の仕組みにおける「プレイヤー」   認定機関 認証登録 機関 審査員研修 機関 審査員評価 登録機関 企業・工場 等 研修受講 希望者 審査員 候補者   「プレイヤー」の役割     ...
  • ISMS審査員の日記
    ISMS審査員の日記     isms 審査員を目指して悪戦苦闘する様を見たまま聞いたまま本音で語る日記です。 筆者は、無資格・無経験から出発して、只今、想像を越える困難の中、何とか日々を繋いでおります。見たくもない問題、聞きたくもない問題。これらは、これから審査員を目指す...
  • ISMS文書
    ISMS文書   ISMSセミナーで入手した資料より。ISO9000の品質マニュアルの体系のほうが分かりやすいので、その方向で再整理。   ★ ISMS文書・記録 ISMSマニュアル   情報セキュリテイポリシー ISMS適用範囲 (事業、組織...

人気の記事:月間

  • 審査研修
    審査研修 TRAINING OF AUDIT◆審査員になるには ルールはJIPDECのホームページに記載あり。→ここ( ISMS審査員評価登録 ) 簡単な手順としては、審査員の教育についてオーソライズされた機関で、教育を受ける。終了テストがある。それに合格する。審査員補...
  • リスク・アセスメント・シート
    リスク・アセスメント・シート あまり実際的ではないリスクアセスシートのサンプル。     ◆リスクアセスメントシート:リスクレベルの評価 管理番号 情報資産名 CIA 資産価値 ① 脅威の程度のレベル ② 脆弱性の程度のレベル ③ リスクの程度のレベル ①*②...
  • 推薦!ISMSコンサルタント
    推薦!ISMSコンサルタント ■ LARGE      大手企業。人数が多く、実績が多く、品質や環境など他の規格も含めた総合的なコンサルが受けられる。サイト数が多い場合や海外に事業所がある場合の対応も可能。 ■      ■      ■ MEDIUM ...
  • 「ISMS審査登録機関
    ◆ 「ISMS審査登録機関」 審査登録機関が認定を受けるのは国内の認定機関に限定されているわけではない。例えば英国UKASから認定を受けて審査業務を行うことも出来る。 以下は、JIPDECが認定した 「 ISMS認証取得事業者一覧 」。今後、登録(契約)審査員の人数、審査...
  • はじめに
    はじめに リニューアルの序言 審査員に最も求められるのは人間性です。どのような審査員を目指すかは心がけ次第です。尊敬に値する審査員になるには人間性の充実は欠かせません。 力量をパフォーマンスと捉え、審査をイベントと解して、まるで道化師のような審査員にお目にかかると失笑...
  • 経営者インタビュー
    経営者インタビュー   マネージメントシステムの審査は経営者インタビューに尽きる。経営者は意図し、企画し、実行し、結果を持っている。システムの出来具合の全ては経営者の言葉、表情、感慨に集約されている。審査員になったあなたが最初にぶつかる本当の壁はとりあえず経営者インタ...
  • ISMS審査員の必読書
    ISMS審査員の必読書 一般的な解説書はアマゾンで検索して探してください。どの解説書でも一定の理解は得ることが出来ます。間違いも多いと思います。限られた経験の中で、自分なりに租借してもので、他の人の理解とはずれがあります。共著はチャプターを分担しているので文章の纏まり感がな...
  • 情報資産
    情報資産   何が情報資産か。一般的な分類をベースに、我が家の情報資産を試しに洗ってみることにしよう。   情報資産の分類 情報資産 紙の文書 ソフトウエア資産 物理的資産 サービス ※分類をどの程度の細かさでやるのかが問題になることがある。それ...
  • ISMSを選択する理由
    ■   「ISMSを選択する理由」 ISMSを要請する時代背景の理解。もはや常識かな? ■       時代背景 ここでは現在の情報化社会についての基本的な動向を踏まえ、情報セキュリテイ問題に取り組むことへの背景を理解する。情報技術の発展がビジネス、働き...
  • 認証取得手順
    認証取得手順   認証取得までの一般的な手順       ここがポイント 準備段階 経営者によるセキュリテイ問題の認識と理解 組織体制、役割の設定 学習 実態把握 方針 実施計画 実施とレビュー   準備段階と入っても、...

人気の投稿:年間

  • 審査研修
    審査研修 TRAINING OF AUDIT◆審査員になるには ルールはJIPDECのホームページに記載あり。→ここ( ISMS審査員評価登録 ) 簡単な手順としては、審査員の教育についてオーソライズされた機関で、教育を受ける。終了テストがある。それに合格する。審査員補...
  • リスク・アセスメント・シート
    リスク・アセスメント・シート あまり実際的ではないリスクアセスシートのサンプル。     ◆リスクアセスメントシート:リスクレベルの評価 管理番号 情報資産名 CIA 資産価値 ① 脅威の程度のレベル ② 脆弱性の程度のレベル ③ リスクの程度のレベル ①*②...
  • 経営者インタビュー
    経営者インタビュー   マネージメントシステムの審査は経営者インタビューに尽きる。経営者は意図し、企画し、実行し、結果を持っている。システムの出来具合の全ては経営者の言葉、表情、感慨に集約されている。審査員になったあなたが最初にぶつかる本当の壁はとりあえず経営者インタ...
  • はじめに
    はじめに リニューアルの序言 審査員に最も求められるのは人間性です。どのような審査員を目指すかは心がけ次第です。尊敬に値する審査員になるには人間性の充実は欠かせません。 力量をパフォーマンスと捉え、審査をイベントと解して、まるで道化師のような審査員にお目にかかると失笑...
  • 推薦!ISMS審査員必携アイテム
    ISMS SUPPORT NETWORK | ISMS規格 の探検 | ISMS審査員の常識 | ...
  • 主要コンテンツ
    ■主要コンテンツ Message: 現在、ISMS審査員を目指している方へ どういう情報を予め知っておきたいか、あるいは懸念されている事柄があれば、 メール にてご連絡ください。 匿名公開できるもの。 既 に、ISMS審査員として活動されている方へ ...
  • ISMS審査の手順
    ■   「ISMS審査の手順」   ■       1.ISMS審査概要 認証取得手順 審査手順     2.書類審査 審査コメントサンプル 審査コメント集     3.初動審査(第1段階審査) 審査の基準 審査会実施手順 ...
  • ISMS文書
    ISMS文書   ISMSセミナーで入手した資料より。ISO9000の品質マニュアルの体系のほうが分かりやすいので、その方向で再整理。   ★ ISMS文書・記録 ISMSマニュアル   情報セキュリテイポリシー ISMS適用範囲 (事業、組織...
  • ISMS認証取得企業
    ISMS認証取得企業   ISMS認証取得企業全リスト    
  • 情報とは
    情報とは JIS X 5080:2002の定義「情報は、他の重要な授業資産と同様に、組織にとって価値がある資産であり、適切に保護する必要がある。」     「人(ひと)、物(もの)、金(かね)」に次ぐ第4の資産「情報(じょうほう)」     2004/03...