WORD & TERM | (悪魔の辞典ISMSバージョン) |
| こんな用語はいくら書いてもきりがない。よく勘違いすること、行き違いが起きること、などをとりあえずピックアップ。巨大な辞書を作るのが目的ではない。 |
| A | Accreditation Services | 多分、認定機関 | |
| I | ISMS | イスムスって座りが悪い。他にQMSとかEMSとかの兄弟がいるらしい。 | |
| ISMS監査 | |||
| ISMS規格 | BS7799-2:2002及びJIPDEC-ISMS認証基準(Ver2.0)のことと考えてよさそう。規格とガイド類はMUSTとWANTの違い。似ているけど決定的に違うもの。 | 法律や世間の目はますます厳しくなるから今後はWANTからMUSTにどんどん入り込んでくる。 | |
| ISMS文書 | |||
| ISMSマニュアル | |||
| ISO 9000 | 品質に関する規格。9000シリーズ。標準規格ISO9001/9002。関連ガイドISO9004等に展開されている。 | ||
| ISO 14000 | |||
| ISO 17799 | BS7799のISO版。まだガイドレベル。 | ||
| ISO 19011 | |||
| J | JAB | 財団法人日本適合性認定協会(略称JAB)。認証機関の認定を行う。 | JABも名刺によく印刷されているマーク。JIPDECとは何が違うのか?。 |
| O | OECD 9原則 | OECDが設定したセキュリテイガイドラインの9原則 。認識原則、責任原則、応答原則、倫理原則、民主主義原則、リスク委評価原則、セキュリティ設計及び実施原則、セキュリティマネジメント原則、再評価原則。http://www.soumu.go.jp/s-news/2002/020807_13.html | |
| く | 苦情 | 審査登録機関に対して、その体制や活動について不服、意見、苦言を申し立てることが出来る。(多分、苦情の申し立ては善意のものであれば基本的には誰でもよい。)苦情の内容によっては、適正な審査であったかどうか問題になるケースがある。場合によっては臨時サーベイランス等の実施が必要。 | こんなの当たり前。ポイントは「審査機関は苦情が寄せられた場合、正しく処理し、記録に残すこと。」ではなかろうか。 |
| こ | 更新審査 | 3年目の審査。途中2回のサーベイランス。 | じゃ、3年目はサーベイランスは無いわけね。 |
| さ | サーベイランス | 登録後、認証機関によって行う点検。年ごとに行う更新審査の間隙を埋める定期サーベイランスと変化点への対応を点検する臨時サーベイランス、及びシステム変更サーベイランスがある。 | 変なカタカナ。漢字が思いつかなかったのか。点検審査とか。 |
| 再審査 | 不適合項目の是正処置の完了と有効性の確認を行う。判定保留のときの審査。 | 審査機関としてはOKにしたものに対して再度審査するので、多分、不名誉なこと。フォローアップ審査は認証機関が認識している問題のフォローだからまあ許せる。 | |
| 残留リスクresidual risk = risk after treated | 読んだままの理解で宜しい。リスクがあるから処置(リスク対応)を図り一定の改善をするがリスクが皆無になる訳ではない。残留リスクが受け入れリスク水準を下回るように頑張るわけだが経営者は受け入れリスクの水準を上げてくるのでこの活動は始まるとキリがない。 | ||
| し | 初動審査 | 書類審査を踏まえ、本審査に向けて行う審査。審査のポイントを探る。 | |
| 書類審査 | ISMS関連文書の提示に基づき書類による審査を行う。 | 経営品質記述書はページサイズも概ね規定しているがISMSは特に設定されていない。 | |
| 審査 | |||
| 審査登録 | 規格への適合性を審査し、確認できた場合は適合していることを(XX機関に)登録すること。 | ||
| 審査登録機関 | 認証機関と何が違うの? | ||
| そ | 組織 | 会社とか事業所とか団体とか。ここでは審査登録を受ける体系化された機能役割のかたまり。 適用範囲と同じに見えるが、適用範囲は物理的・地域的な観点も入る。 | 組織である以上、トップが誰でその意志は何かは明確なはず。ご都合でビジネス上の組織とISMSの組織を分ける場合がある。そこは要注意。 |
| て | 定期サーベイランス | 年1回実施。ISMS適合状況の確認。所要日数1日程度。 | |
| 提訴 | 認証の登録又は維持についての決定について、審査を受けた組織・企業がIS提訴委員会に異議申し立てをすること。クレーム。提訴は文書で行う。 | ||
| 提訴委員会 | IS提訴委員会。受審組織、審査機関、利害関係のない外部学識経験者等で構成。提訴内容の是非・妥当性を審議する。 | 実際に何件ぐらいの提訴、あるいは委員会の開催があるか。また結果はどのようなものか。 | |
| と | 登録証 | 審査登録機関が発行する規格適合証明書かな。もしくは認証登録を行ったことを証明する書類。 | |
| な | 内部監査 | 自己監査。組織が自らを監査する。認証制度を成立させる根本イベントの一つ。網羅性の確保はこの内部監査に期待するところが大きい。 | だから、認証制度では内部監査の実施内容のフォローが重要。組織自身が持つ改善能力を重要視するということ。 |
| に | 認証機関 | 審査登録機関と何が違うの? | |
| 認証マーク | ISMS規格適合を示すロゴマーク。 | ロゴマークでいっぱいの名刺を見ると寂しくなる。名前だけでは自信が無いのね。認証機関としてはWEBサイト用のロゴプログラムがあってもいいのですが実際はどうなんでしょう。 | |
| は | 判定委員会 | 審査結果の妥当性を判定する。受審組織及び審査機関と利害関係のない外部委員で三分の二以上を構成。出席者3名以上で成立。 | 具体的にはどういう人が外部委員になっているんだろうね。継続して出席すれば利害関係が出てくるのでは? |
| ふ | フォローアップ審査 | 条件付合格の場合、条件がクリアされたかどうかを確認する。確認できなければ不合格。 | |
| へ | 変更サーベイランス | システム変更サーベイランス。ISMSシステムの構造等におおきな変更があった場合に行う点検。 | 臨時サーベイランスと何が違うか?。臨時Sは外に要因があり、変更Sは内に要因があると理解してよさそう。 |
| ほ | 本審査 | ||
| よ | 予備審査/予行審査 | ISO19011で要請しているわけではないが、ISMS構築レベルに不安が残る場合、本審査に向けて取り組むことの是非を判断する審査。確実に審査のステップを踏み認証取得を意図する場合も受審する。 | |
| り | リスクの物差し | リスクを何で計るか。金額換算が宜しい。 | |
| 臨時サーベイランス | 苦情、事故(セキュリテイトラブル)、ISMS規格変更などが生じた場合、臨時に行う。所要日数1日程度だが、問題の大きさによっては数日となる。登録停止中の再登録に当たっても臨時サーベイランスとして実施する。 | しっかりしたアンテナを持っていないといけない。その辺、その認証機関はどうなの? |
2004/03/10 First
2004/03/25 k1
2004/10/03 Last
