今年の5月中旬にプライバシーマークの規格である JIS Q 15001 : 2006が発行されました。 前のバージョンが1999でしたから時間が掛かっていますね。 その間に個人情報保護法の施行もあり、 個人情報に関する過剰な対策が繰り広げられました。 すでにプライバシーマークを認証取得している組織はいいのですが、 これまで準備を進めてきてこれから申請される場合は困りますね。 規格の内容をみてみても変更箇所はいくつか出てきます。 それに伴いCP文書も変更してゆかなければなりません。 やっとここまで漕ぎ着けたのに～と言った声が聞こえそうです。 でもよくよく見てみるとこれまでの規格に書いてなかったけど、 審査の中で指摘されてきたことが明文化されていることに気づきます。 規格にないことを指摘すること自体が本当はおかしい事なのですが、 それはさておき、どちらにしても対策をとらないといけない事ですね。 ですからこれまで準備を進められて申請間近かの組織でも、 思い切ってJIS Q 15001 : 2006での受審をお勧めします。 どちらにしても指摘されることですから早いか遅いかですね。 ただそれに伴った準備は必要になってきますが。。。

この度上海の工場のISOコンサルの話がきました！ 日本法人の上海工場で輸出関連製造業です。 マネージャークラスは日本人で労働者は中国人の会社。 日本的なやり方ではなかなか効率化が上がらないので、 ISOによりプロセスの標準化をして指揮系統を明確にしよう！ と言った顧客要望からお話を頂きました。 とても興味のある内容なのですが、 私も中国の方とお付き合いさせて頂いている中で、 文化の違いや考え方の違い強いては商慣習まで考えると なかなか一筋縄ではいかないオファーかと思っています。 ただ同じ悩みを現地工場の管理者の方は抱えてるはずなので、 そこでISOがどこ位役に立つのかトライしてみようと思っています！

最近、○○の「見える化」という見出しが目立ちますが、 ISMSの有効性評価がまさにその「見える化」ですね。 これまではリスクアセスメントを実施して、 そのリスクを低減するための管理策を適用して、 後はPDCAサイクルを回すことにより維持管理する。 これで良かったのですが。。。 情報セキュリティの「見える化」を実施するためは、 管理策の有効性を測るための秤が必要になってきます。 IPAからその指標が出ていますので参考にしてみてください。 http://www.ipa.go.jp/security/fy15/development/metrics/documents/metrics_guideline.pdf もしそれが難しければまずは各々のプロセスの監視のために 身近なデータを収集してそれを比較検討することからはじめましょう。 例えば、情報セキュリティインシデントの収集プロセスでは、 インシデントの発生量やその解決時間、または予兆を測ってもいいですね。 とにかくどんなデータを収集することが可能か検討してみてください。 そこからどんなことが読み取れるかそれが「見える仮」のはじまりですね！

昨日、今日とISO27001の監査をしています。 ISMSからISO27001へと国際規格に変わっての大きな違いとして、 有効性の評価をしなさいって大命題が掲げられましたね。 ここで皆さん苦労されているみたいですが、 もともとP(Plan)-D(Do)-C(Check)-A(Act)のサイクルを回して、 マネジメントシステムを構築している訳ですから、 そのC(Check)の部分がより明確になっただけですね。 ただこの定量的管理と言った部分はなかなか慣れないと困難で、 どんな秤を使って測定しましょうかからまず入って行きます。 また紹介しますがIPAのホームページからも参照されていますので、 とりあえず参考にして各社必要な秤を揃えて行けばよいかと思います。 次回はその秤についてご紹介しますね！

今更って感じですが、「コンサルタントのこぼれ話」というテーマでブログを開設しました！ ネットスクエアのコンサルタントは全員審査員資格保有者ですので、 コンサルタントとしての視点や審査員としての視点で発言したいと思っています。 結構面白い話もありそうなので期待しておいて下さいね！