ISOの要求事項の中に教育・訓練が入っています。 これはPlan-Do-Check-Actのサイクルの中で、 Do（実施）をするための手段に該当します。 また教育・訓練プロセス自体にもPDCAサイクルがあり、 教育計画を立て、実施し、有効性を評価し、効果が確認できない場合は、 再度フローアップの必要性を見なすことにより一巡します。 これはQMSでもISMSでも同じプロセスであり、 最近ではプライバシーマークでも有効性は求められています。 教育に関してはどの組織でも何らかの形で実施していますが、 その教育の有効性評価までは至っていないことが多いですね。 特に情報セキュリティの教育に関しては、 従業員の意識付けに大きく影響してきますので、 本当に受講者が理解したのか何らかの方法で確認が必要です。 そう言った意味ではeラーニングのコンテンツが出ていますので、 それらを有効に活用することが得策かも知れません。

本日Web関係の就職を希望されている学生さんが訪問されました。 会社見学といった形でお話しを聞くことができたのですが、 とても初々しくて新鮮さを感じました。 Web関係のお仕事って華やかそうで結構地道ですよね。 毎日遅くまで作業していますし、好きでないとやっていけません。 でも開発した案件が評価されると全てが報われます。 Web開発はデザイン系とプログラム系に分類されますが、 右脳と左脳の関係かもしれませんがどっちかに分かれますね。 ネットスクエアではデータベースを絡めた開発が得意ですので、 プログラム系の技術者がメインですがデザインも大切です。 ただデザインだけではなかなか仕事にならなくて、 提案力やプレゼン力が必要になってきます！ これからWeb関係のお仕事を目指される学生さんは、 是非ともこれらの能力を磨いて自分をＰＲして下さい！

今年の梅雨は酷いですね。。。 私は出張が多いので台風にはよく悩まされますが、 今年はこの雨で交通状況が変わってきています。 また全国各地で災害が出ていますので早く明けて欲しいものです。 皆さんはこれらの災害の対策は何か取っているでしょうか？ 今回の雨による浸水や濁流もそうですが地震や火事も然りです。 避難マニュアルはお手元にありますか？ また避難場所はどこだかご存じでしょうか？ これらのことをISMSでは事業継続管理と言っています。 自然災害や人為的なミスで事業継続が困難になりそうな場合の備えです。 今年の梅雨に例えるとけして他人ごとではないですね。 組織にとっての様々な脅威を分析してそこから優先順位をつけ、 例えば地震の多い地域は地震対策を海抜の低い地域は水害対策を、 また情報漏洩の可能性がある場合はマスコミ対策を計画して行きます。 そしてその計画が非常時に実行できるか試験をすることになります。 つまり避難訓練ですね。。。 これが結構重要で絵に描いた餅にならないことが大切です！ 事業継続管理は危機管理にも繋がります。 9.11のテロ以降大変重要視されている管理策でもあります。 皆様の組織での対応は如何でしょうか！？

リスクアセスメントを実施する課程において、 情報資産の洗い出しをしますが、 その際に注意して欲しいことがあります。 情報資産の分類として、 ①情報資産（紙、データ） ②ハードウェア ③ソフトウェア ④サービス があげられますが、 その中でもサービスが見落としがちです。 例えば自社で設備投資した場合は、 ハードウェアとして計上されますが、 それを外部に委託する場合はサービスになります。 例えば、 通信サービス、ハウジング・ホスティング、メンテナンスサービス等です。 また情報資産を洗い出す際にも全てを羅列するのではなく、 想定されるリスクに応じてグルーピングすることもお忘れなく！

最近、立て続けにセキュリティチェックリストが、 取引先の大手企業から送られてきました。 電力系のソフトハウスとメーカー系ソフトハウスからです。 そのチェックリストの内容をみてみると、 ISMSの要求事項が沢山並んでおり、 これを全て○にしようとするならば、 ISO27001認証取得が出来てしまいそうでした。 よくよく考えてみたら取引先の２社は、 ISMSを認証取得している企業なのであり、 私自身監査員として委託先へのチェックを 監査の中で気を付けてみていますので、 当然と言えば当然の成り行きなのですね。 みなさんはISMSの対策できていますか？

BS15000で馴染みがあったITILがISO20000として規格化されました。 私はISO20000としての審査員もやっており、 この度SRCで以下の講師を行うことになりましたので告知します。 興味のある方は以下までお申し込み下さい！ http://www.src-j.com/seminar/detail_s.asp?p_SemCode=26-268&p_BackURL=index.html ～ITILをベースとする国際標準!!～ ISO20000（ITサービス・マネジメント規格）概要と認証取得のポイント 1.　ISO20000とITIL 　1.1　ISO20000の背景 　1.2　ITIL-4つのP 　1.3　ISO20000とITILの関係 2.　ISO20000の導入及び適用範囲 3.　ISO20000の詳細解説 　3.1　ISO20000のマネジメントシステム 　　・マネジメントシステムの要件 　　・サービスマネジメントの計画立案と実施 　　・新規または変更サービスの計画立案と実施 　3.2　ISO20000-1（ITサービスマネジメントの仕様） 　　・サービスデリバリプロセスの仕様 　　・関係プロセスの仕様 　　・解決プロセスの仕様 　　・管理プロセスの仕様 　　・リリースプロセスの仕様 　3.3　ISO20000-2（ITサービスマネジメントの実施基準） 　　・サービスデリバリプロセスの実施基準 　　・関係プロセスの実施基準 　　・解決プロセスの実施基準 　　・管理プロセスの実施基準 　　・リリースプロセスの実施基準 4　ISO20000認証取得まで 　4.1　ISO20000認証のメリット 　4.2　認証取得のポイント 5.我国におけるITSM認証制度の現状 5.1 JIPDEC（日本情報処理開発協会）が推進するITSM認証制度とは 5.2 第三者認証制度の概要 5.3 ITSM認証制度のスケジュール 5.4 認証取得のための準備とポイント *ITILは、英国及びEU各国における英国政府OGCの商標又は登録商標です。

熊本にコンサルに行ってきました！ 熊本へは審査先があり何度か足を運びましたが、 これからはもっと行く頻度が増えます。 審査へ行く際にいつも思っているのですが、 地方へ行くとその道中の景色や変わった食べ物、 またその地方独自の習慣に触れてとても新鮮です。 ISO9001の審査では工場が地方に多かったのですが、 ISMSになると首都圏に集中して残念な思いをしていました。 この度のクライアントはIT業者で補助金を使ってのコンサルです。 ネットスクエアにも取引先からセキュリティチェックリストや、 機密保持契約書、個人情報に関する誓約書がよく送られてきますが、 今後はそれらも首都圏から地方への広がって行くのでしょうね。 そうなると私も色んな所へも行けて楽しみが増えてきます。。。