この間静岡の会社へISMS監査のため訪れた際に、 やたら耳に付く音楽を何度も聞くことになりました。 ♪冷凍みかん、冷凍みかん、冷凍みかん、四個いり♪ 監査では３日間静岡に居たのでいつの間にか覚えてしまい、 先日買ったiPodのサイトを見てみたら同じ曲があったので、 さっそく200円支払ってダウンロードしました。 今では出張先でも車のなかでも、 ♪冷凍みかん、冷凍みかん、冷凍みかん、四個いり♪ とのフレーズが鳴り響いています！ この曲が流行ればいいですね。。。

アイソスから「いきのいいコンサルタント」ご意見募集の案内が届き、 １．システム構築に関して、コンサル手法を教えて下さい。 ２．認証取得後の組織に対する積極的なコンサル業務を教えて下さい。 との質問が投げかけられました。 それに対してネットスクエアとしては以下の回答をしています。 １．ISO-SQUAREを活用したネットコンサル 　弊社では通常の現地コンサルティングはさることながら、 ISO認証支援ASPサービスである「ISO-SQUARE」を活用した、 ネットコンサルを実施することにより顧客満足を高めています。 簡単に申しますと、お客様の文書を弊社のサーバーでお預かりし、 インターネットが接続できる環境であればどこでも閲覧可能とします。 勿論、文書の承認や配布、さらに改定管理までできますので、 これらの機能を利用することにより文書管理の要求事項は満たします。 さらにコンサルにも閲覧権限を与えて頂き文書レビューを実施します。 それだけに限らずコンサルに対するQ&Aも電子掲示板で行え、 それらの履歴がそのままFAQにもなりとても重宝頂いています。 直接お客様のところでのご指導は現地コンサルにおいて実施し、 システム構築に関するご指導はネットコンサルで展開することにより、 お客様とコンサルトの距離を縮めさらにコスト削減にも役立っています。 ２．Net-Learning05を活用した継続教育の実施 　認証取得後においてお客様からお問い合わせを頂くのは、 内部監査員の増強や文書の整理、さらには規格改定の対策が多く、 特に要員の力量アップについては頭を悩まされておられます。 勿論内部監査員教育や規格解説教育は現地でも実施しているのですが、 もっと効率的に特に拠点を複数もっておられるお客様からのご要望で、 eラーニングの仕組みを活用し継続教育を提供させて頂いています。 それがISOの継続教育のための「Net-Learning05」という仕組みで、 最近では個人情報保護や情報セキュリティの啓蒙教育に利用されています。 さらに教材の中には理解度チェックが含まれているので有効性評価ができ、 教育の実施状況が管理画面で確認できるのでフォローアップにも役立ちます。 運用面においては事務局の手が掛からないように効率的に実施され、 自然とマネジメントシステムが根付く仕組みが期待されますね。 採用されましたら紙面でも見て下さいね！

この度我が家にも光インターネットがやってきました！ これまではコンサル先でも出張先でも家庭でもPHS回線で、 インターネットに接続していたのですが速度が速くなりました。 ネットスクエアのASPサービスであるISO-SQUAREは、 ISO文書をサーバーで預かりインターネットを通じて、 ネットコンサルを実現するところに特徴があります。 そう言った意味においてはこれで書斎でもコンサルができ、 今にもましていつでもどこでも仕事が可能になったわけです。 便利になった反面日本中どこに行っても逃げ場がなく、 24時間働けるコンサルタントが必要になってきますね。。。

今年の5月中旬にプライバシーマークの規格である JIS Q 15001 : 2006が発行されました。 前のバージョンが1999でしたから時間が掛かっていますね。 その間に個人情報保護法の施行もあり、 個人情報に関する過剰な対策が繰り広げられました。 すでにプライバシーマークを認証取得している組織はいいのですが、 これまで準備を進めてきてこれから申請される場合は困りますね。 規格の内容をみてみても変更箇所はいくつか出てきます。 それに伴いCP文書も変更してゆかなければなりません。 やっとここまで漕ぎ着けたのに～と言った声が聞こえそうです。 でもよくよく見てみるとこれまでの規格に書いてなかったけど、 審査の中で指摘されてきたことが明文化されていることに気づきます。 規格にないことを指摘すること自体が本当はおかしい事なのですが、 それはさておき、どちらにしても対策をとらないといけない事ですね。 ですからこれまで準備を進められて申請間近かの組織でも、 思い切ってJIS Q 15001 : 2006での受審をお勧めします。 どちらにしても指摘されることですから早いか遅いかですね。 ただそれに伴った準備は必要になってきますが。。。

この度上海の工場のISOコンサルの話がきました！ 日本法人の上海工場で輸出関連製造業です。 マネージャークラスは日本人で労働者は中国人の会社。 日本的なやり方ではなかなか効率化が上がらないので、 ISOによりプロセスの標準化をして指揮系統を明確にしよう！ と言った顧客要望からお話を頂きました。 とても興味のある内容なのですが、 私も中国の方とお付き合いさせて頂いている中で、 文化の違いや考え方の違い強いては商慣習まで考えると なかなか一筋縄ではいかないオファーかと思っています。 ただ同じ悩みを現地工場の管理者の方は抱えてるはずなので、 そこでISOがどこ位役に立つのかトライしてみようと思っています！

最近、○○の「見える化」という見出しが目立ちますが、 ISMSの有効性評価がまさにその「見える化」ですね。 これまではリスクアセスメントを実施して、 そのリスクを低減するための管理策を適用して、 後はPDCAサイクルを回すことにより維持管理する。 これで良かったのですが。。。 情報セキュリティの「見える化」を実施するためは、 管理策の有効性を測るための秤が必要になってきます。 IPAからその指標が出ていますので参考にしてみてください。 http://www.ipa.go.jp/security/fy15/development/metrics/documents/metrics_guideline.pdf もしそれが難しければまずは各々のプロセスの監視のために 身近なデータを収集してそれを比較検討することからはじめましょう。 例えば、情報セキュリティインシデントの収集プロセスでは、 インシデントの発生量やその解決時間、または予兆を測ってもいいですね。 とにかくどんなデータを収集することが可能か検討してみてください。 そこからどんなことが読み取れるかそれが「見える仮」のはじまりですね！

昨日、今日とISO27001の監査をしています。 ISMSからISO27001へと国際規格に変わっての大きな違いとして、 有効性の評価をしなさいって大命題が掲げられましたね。 ここで皆さん苦労されているみたいですが、 もともとP(Plan)-D(Do)-C(Check)-A(Act)のサイクルを回して、 マネジメントシステムを構築している訳ですから、 そのC(Check)の部分がより明確になっただけですね。 ただこの定量的管理と言った部分はなかなか慣れないと困難で、 どんな秤を使って測定しましょうかからまず入って行きます。 また紹介しますがIPAのホームページからも参照されていますので、 とりあえず参考にして各社必要な秤を揃えて行けばよいかと思います。 次回はその秤についてご紹介しますね！

今更って感じですが、「コンサルタントのこぼれ話」というテーマでブログを開設しました！ ネットスクエアのコンサルタントは全員審査員資格保有者ですので、 コンサルタントとしての視点や審査員としての視点で発言したいと思っています。 結構面白い話もありそうなので期待しておいて下さいね！