リスクアセスメントを実施する課程において、 情報資産の洗い出しをしますが、 その際に注意して欲しいことがあります。 情報資産の分類として、 ①情報資産(紙、データ) ②ハードウェア ③ソフトウェア ④サービス があげられますが、 その中でもサービスが見落としがちです。 例えば自社で設備投資した場合は、 ハードウェアとして計上されますが、 それを外部に委託する場合はサービスになります。 例えば、 通信サービス、ハウジング・ホスティング、メンテナンスサービス等です。 また情報資産を洗い出す際にも全てを羅列するのではなく、 想定されるリスクに応じてグルーピングすることもお忘れなく!
最近、立て続けにセキュリティチェックリストが、 取引先の大手企業から送られてきました。 電力系のソフトハウスとメーカー系ソフトハウスからです。 そのチェックリストの内容をみてみると、 ISMSの要求事項が沢山並んでおり、 これを全て○にしようとするならば、 ISO27001認証取得が出来てしまいそうでした。 よくよく考えてみたら取引先の2社は、 ISMSを認証取得している企業なのであり、 私自身監査員として委託先へのチェックを 監査の中で気を付けてみていますので、 当然と言えば当然の成り行きなのですね。 みなさんはISMSの対策できていますか?
BS15000で馴染みがあったITILがISO20000として規格化されました。 私はISO20000としての審査員もやっており、 この度SRCで以下の講師を行うことになりましたので告知します。 興味のある方は以下までお申し込み下さい! http://www.src-j.com/seminar/detail_s.asp?p_SemCode=26-268&p_BackURL=index.html ~ITILをベースとする国際標準!!~ ISO20000(ITサービス・マネジメント規格)概要と認証取得のポイント 1. ISO20000とITIL 1.1 ISO20000の背景 1.2 ITIL-4つのP 1.3 ISO20000とITILの関係 2. ISO20000の導入及び適用範囲 3. ISO20000の詳細解説 3.1 ISO20000のマネジメントシステム ・マネジメントシステムの要件 ・サービスマネジメントの計画立案と実施 ・新規または変更サービスの計画立案と実施 3.2 ISO20000-1(ITサービスマネジメントの仕様) ・サービスデリバリプロセスの仕様 ・関係プロセスの仕様 ・解決プロセスの仕様 ・管理プロセスの仕様 ・リリースプロセスの仕様 3.3 ISO20000-2(ITサービスマネジメントの実施基準) ・サービスデリバリプロセスの実施基準 ・関係プロセスの実施基準 ・解決プロセスの実施基準 ・管理プロセスの実施基準 ・リリースプロセスの実施基準 4 ISO20000認証取得まで 4.1 ISO20000認証のメリット 4.2 認証取得のポイント 5.我国におけるITSM認証制度の現状 5.1 JIPDEC(日本情報処理開発協会)が推進するITSM認証制度とは 5.2 第三者認証制度の概要 5.3 ITSM認証制度のスケジュール 5.4 認証取得のための準備とポイント *ITILは、英国及びEU各国における英国政府OGCの商標又は登録商標です。
熊本にコンサルに行ってきました! 熊本へは審査先があり何度か足を運びましたが、 これからはもっと行く頻度が増えます。 審査へ行く際にいつも思っているのですが、 地方へ行くとその道中の景色や変わった食べ物、 またその地方独自の習慣に触れてとても新鮮です。 ISO9001の審査では工場が地方に多かったのですが、 ISMSになると首都圏に集中して残念な思いをしていました。 この度のクライアントはIT業者で補助金を使ってのコンサルです。 ネットスクエアにも取引先からセキュリティチェックリストや、 機密保持契約書、個人情報に関する誓約書がよく送られてきますが、 今後はそれらも首都圏から地方への広がって行くのでしょうね。 そうなると私も色んな所へも行けて楽しみが増えてきます。。。
ネットスクエアのHPをリニューアルしてからちょうど1ヶ月です。 ここの所HPからのコンサルの引き合いや求職が出てきています。 検索エンジンに反映されるのが1ヶ月位かかるのでしょうか? これまでもHPを通じての受注の例が何件かあり、 インターネットの威力は感じていました。 ただシステム開発に関する引き合いはこれまでゼロですね。 どうしてでしょう?
ネットスクエアのHPを見てたくさんの方が求職されます。 弊社では特に求人活動をしている訳でなく、 大変ありがたいことなのですがそこで一つ提言を! 皆さん新しい環境で仕事をする意欲に溢れているのですが、 それはこれまで培ってきたバックグランドがあってのこそです。 ですからご自分で何ができるのかと何がやりたいのかを明確にし、 そのためにこれまでどんな事をやってきたかをPRして下さい! 沢山のことをやってきてこれからも色々やってみたいでもいいですが、 これだけは人には負けない、 また、 これからはこの分野のエキスパートになる、 と言ったオンリーワンの自分を見せて貰えると響きます。 勿論入社後での教育もありますのでレベルアップは可能です。 しかしそこまで行きつくこともとても重要ですからね。。。
ISOのコンサルタントの仕事は認証取得がメインです。 従って、めでたくISO認証取得で契約は完了します。 ある意味達成目標が明確でやりやすい仕事ですが、 それで終わってしまっては寂しいですね。 コンサルの評価によって違ってきますが、 通常は内部監査員教育や文書のスリム化といった、 スポットでの継続的なコンサルの依頼が多くあります。 また指導範囲を限定した顧問コンサルの契約もあります。 つまりコンサルタントの評価をする際は、 有名なクライアントをいくら持っているかよりも、 リピートがどれだけ続いているかで決まっています。 ネットスクエアではコンサル部隊とシステム部隊がいますが、 どちらとも同じ事が言えると思います。 つまり顧客満足度が高いジョブではリピートがあり、 継続的なお仕事に繋がって行く訳です。 皆さんのお仕事にも同じ事が言えるのではないでしょうか? 自転車操業は自ら起こしている過ちなのでは。。。
ISMS認証組織から個人情報が漏れたらどうなるか!? 一般的にはその原因究明と是正処置が完了するまでは、 認定の継続を停止してフォローアップ監査を実施します。 しかしながら漏洩元が適用範囲外の場合や取引先の場合は、 少し話がややこしくなりすぐには認定停止にはなりません。 審査機関としては事実関係を確認して、 情報漏洩した経験が水平展開され、 予防処置へと展開さえていれば、 そのまま継続となります。 ISMSを取っているからと言って情報漏洩しないとは言えない訳で、 人の問題や環境の問題において様々なリスクはついてきます。 それらの問題に対応できるマネジメントシステムが構築され、 継続的改善が確認できれば認定としては成立することになります。 ただし同じ問題が繰り返されていれば無理でしょうね。。。
6/14に開催しました情報セキュリティセミナーは、 たくさんの参加者の来場を持ちまして無事終了しました。 皆さんとても熱心に聴講されておられた模様で、 それだけセキュリティに関する関心が高いのでしょう! と言うよりISO27001対応が気になるのでしょうか・・・ 何れにしても広島でのセミナーとしては大成功でした。 講師としての感想としましては、 これからISMSに取り組まれる企業と、 すでに認証取得されISO27001へと移行される企業と、 2つの側面から話をするのに苦労しました。 参考になったかどうかはこれからの反応ですね。 次回は東京高田馬場でISO20000セミナーを開催予定です。 ITILの関心も日に日に高まっていますので是非ご参加下さい! http://www.src-j.com/seminar/detail_s.asp?p_SemCode=26-268&p_BackURL=index.html
先日、小学校から中学校にかけてのミニ同窓会がありました。 もうかれこれ20年以上経つ訳ですから不安一杯で参加しました。 まあ、それなりに変わっていない人、よく覚えていない人、 独身者、既婚者、バツイチ等、色んな人生が集まっていました。 私もその中で自分の人生を振り返ってみたのですが、 大学時代まではギター片手にミュージシャンになるはずで、 それがいつからか就職活動を始めるようになり、 そこで初めてコンサルタントへの道が見えてきたのでした。 10年間のSEとしてのサラリーマン生活を得てネットスクエアを起業! 現在では経営者、コンサルタント、監査員としての顔を持ちます。 まあまあ目的通りの人生なのかなぁ~と納得したりもしています。 ただ大切なのかこれからですよね。。。 エーゲ海に浮かぶミコノス島からインターネットを通じて仕事ができる ーそんなゆとりのある生活環境をネットワークで実現することを ネットスクエアは目指しています。 ネットワークの広場がたくさんあり、その中にお客様が求めている世界が存在する ーそう遠くない未来にそんな世界を実現します。 ネットスクエアのミッションの実現のために誠意努力します!