ISO27001が推奨する133の詳細管理策の中で 第三者が提供するサービスの管理があります。 情報資産の分類には、情報・データ、ソフトウェア、 ハードウェア、サービス、人、無形資産があり、 その中のサービスに対する管理策に該当します。 ポイントは3つで、 まずセキュリティ管理策を含んだサービスレベルの合意をし、 サービスレベルに変更が発生したらその変更を適切に管理し、 要求通りサービスが提供されているか監視、レビューするのです。 この3つ目がとても重要でSLAを締結するだけでなく、 その実施状況の監視及びレビュー、さらには監査まで 管理策として定義してあることを忘れないで下さい! つまりそれだけ外部のサービスを受けることは、 セキュリティにおけるリスクが含まれるのですね。
ISO9001の要求事項でプロセスの妥当性確認の項目があります。 試験や検査で品質を保証できない場合は、 その製品を製造するプロセスの妥当性を確認することにより 品質保証をしましょうと言った要求事項になります。 一般的には、溶接や塗装、セメントの養生等が回答し、 折角完成した製品の強度は壊してみないと分からないので、 その製造工程により時間や温度、湿度の条件を決めておき、 その通りに実施できたことで品質を満たしたこととしています。 最近ではサービス業におけるサービス提供のプロセスでは 該当するのではと言った見解が主流になってきています。 いちいち試験や検査をしていないのではと言った考えです。 例えばハンバーガーを作っている工程において試食はぜずに、 決められた分量、鉄板の温度、お肉を焼く時間、保管状態等を、 マニュアル通り実施すれば同じ味の製品に仕上がる訳ですね。 サービス業でも適用する様になったのが2000年版からで、 もしサービス業に該当する業種の方は一度検討してみてください!
私がこれまで講師をしてきたソフトリサーチセンター(高田馬場)から ISO20000関係の書籍の執筆を依頼されこの度やっと完成させました。 その紹介文を作成しましたので興味がある方はお問い合わせ下さい! ———————————————————- 皆さんは「ITIL」という言葉をご存じでしょうか? ITインフラストラクチャーライブラリィの略称でITサービスの運用のための ベストプラクティス集のことを意味します。itSMFという団体が管理しており、 コンピュータメーカーやITベンダーから多くのITIL技術者が育成されています。 そこにISOのマネジメントシステムが加わりISO20000として制度化されました。 これまでソフトウェアの品質向上の手段としてISO9001やCMMIが注目され、 開発プロセスの改善に役立ってきましたが、ITサービス全体をひろく捉え、 運用プロセスの安定稼働を目指したのがISO20000なのです。 開発から運用へとITサービスがなくてはならない存在になってきた訳ですね。 それらを総称としてITサービスマネジメント(ITSM)と呼ぶようになり、 経営(マネジメント)の中にITサービスが入り込んで来ている証とも言えます。 身近な事例としては、東京証券取引所の発注ミスやキャパ不足の事故、 羽田空港のシステムダウンによる航空トラブル、過去に遡るとみずほ銀行の ATMシステムの不具合などがITサービスの問題として取り上げられます。 これらの事象をインシデントと呼び問題解決からリリースまでの流れを、 効率よく効果的に切れ目のない運用にもっていくことが重要になってきます。 その中には昨今注目されている情報セキュリティ対策も取り込まれており、 ITサービスの運用をシステマチックにマネジメントされている組織が、 ISO20000の認証取得として権威付けされてくることになってきます。 本書は、ITILとISO20000との関係から概要までを分かり易く解説し、 ISO20000のマネジメントシステムはどうやって構築すればいいのか、 ITSM認証取得制度の概要と認証基準とは一体どんなものなのか、 ITSM認証取得への対策とその方法を事例をもとに提供しています。 筆者自身、itSMFの審査員としてISO20000の審査実績を有しており、 ISOやITのコンサルタントとしても数々のマネジメントシステムを構築し、 それらのノウハウがこの1冊にまるごと凝縮されています。 動いて当たり前のユビキタス社会のITサービスとネットワークシステムが、 サービスダウンすることにより社会的な損害にまで発展する世の中です。 ITサービス責任者、情報システム管理者、IT技術者及び運用者の方々に、 是非一読してもらいたいと考えています。
いつもはISOの監査員として監査をしているのですが、 ただ今コンサルとして監査の立会いをしています。 立場を替えて客観的に見れるのは大変勉強になります。 内部監査員研修では監査とはAuditの意味であり、 「聴く」ことがとても重要ですと説明しています。 サービス精神旺盛の監査員は話しすぎの傾向がありますね。 また既成概念を持った上でインタビューを進めるのは危険で、 あくまでも客観的事実を中心に証跡を見つけて行かないと、 受審側からすると身近な問題としての認識に欠けてきます。 監査の目的としては認証の適合性評価の意味合いもありますが、 受審側の組織の改善のヒントを検出することにあります。 勿論内部監査ではそれをマネジメントシステムの中で実施します。 指摘内容が是正処置に正しくつながる監査が理想的ですね!
ネットスクエアではこれまで歯科向け予約システムの開発や、 医療機関に対するコンサルタントを実施してきています。 先日歯科診療所評価機構主催の歯科セミナーに参加して、 自由診療と保険診療のお話を聞いてきました。 まず私たちが通常かかっている治療は保険診療の範囲内で、 それは歯科技術の中ではごく一部の範囲とのことでした。 つまり自由診療(保険なし)であればもっと最先端の治療を受け、 健康的な歯と長くお付き合いできる可能性が出てくる訳です。 私はパネラーとして参加させて頂いたのですが、 もし新庄選手(元大リーガー)の様な白くて綺麗な歯になるなら、 少しばかりの出費は厭わないと発言して失笑を得ました。 問題はその様な機会があることを世間が知らないことなのです。 そこでネットスクエアとしては予約システムとコンサルティングの実績から、 全国の優良な歯科医院が何処にあってどんな治療を展開しており、 そしてその費用を比較検討できるようなASPサービスの展開を実施します! 近いうちにその発表を致しますのでご期待下さい!
阿蘇の大草原で乗馬をしてきました! 以前大山の乗馬センターに行って興味を抱き、 この度のホーストレッキングで乗馬にはまりそうです! 馬はどうやら人を見るらしく、あまり舐められると言うことを聞きません。 また草原には大好物の牧草がたくさん生えているので、 周りはご馳走だらけでちょっと油断しているとお食事タイムです。 それでも阿蘇の中岳や外輪山を見渡しながらの乗馬は格別で、 普段のシステマチックな毎日から解放され別世界のひとときです。 そうは言ってもこの乗馬クラブはインターネットから検索して、 ホームページを通じて予約を入れていますので、 阿蘇の大自然にもITの波は押し寄せているということですね。。。
ISMSやプライバシーマークを取得している組織は、 年1回以上のセキュリティに関連する教育が必要です。 勿論教育するだけでは不充分で教育した効果も測定します。 情報セキュリティに関連するコンテンツとして これまで「Net-Learnig05」を運用してきましたが、 その中に情報セキュリティ入門のコンテンツを追加しました! 個人情報保護を中心にしたコンテンツが中心でしたが、 少し視野を広げてセキュリティとは何かを学んで頂きます! ISMSやプライバシーマークの認定企業に限らず、 従業員に対するセキュリティ教育の一環として活用頂ければ、 企業のコンプライアンスに役立て頂ける事は間違いありません。 是非1度ネットスクエアのHPからご体験下さい!
ネットスクエアではこれまでWeb系のシステム開発を 得意分野としてお客様に提供してきましたが、 今後は開発から運用へと徐々にシフトして行っています。 開発においては、オブジェクト指向技術やオープンソース、 データベース設計からネットワーク構築までこなしてきました。 今後運用においては、ITILが推奨しているプロセスをもとに、 ネットスクエアで開発したASPサービスの運用保守、 お客様のシステムの維持管理サービスを強化しています。 コンサル技術としてもISO9001やISO14001の構築から始まり、 時代の流れとともにISMSやプライバシーマークの需要が増え、 今後は私が審査員の資格を取得したISO20000に注目しています。 インターネットの世界では技術発展が早く便利になっていますが、 それが進むにつれて使えて当たり前な世の中になってきています。 そうでなければユビキタスの実現は困難でしょうから。。。
先日エコヒルズ(港区赤坂)の新商品発表会へ参加しました。 ネットスクエアが開発したISO14001管理ツールである 「これだけ!ISO管理ソフト」のデモンストレーションを見てきました。 ISO審査員と環境コンサルタントがタッグを組んで設計し、 ISO-SQUAREの開発者であるネットスクエアが製造した製品は、 会場での反響も大きく特に事務局に対する期待が高い商品です。 「これだけ!ISO管理ソフト」の特徴としては、 1.誰でもISOの維持管理ができる 2.マニュアルを作成しないので不整合なし 3.様式が標準装備。少ないので記録も楽々! 4.各部門の進捗状況が一目で分かる 5.督促などの面倒な事務は自動的にメール 6.文書の承認、閲覧、配布も全てWebで管理 7.マネジメントシステム構築最短で1日間 等々がプレゼンテーションされていました。 詳しくは、http://www.ecohills.com/まで
先日中小企業診断士のポータルサイトを目指すL2Lの話を聞きました。 http://www.l2l.co.jp/ 全国に15,000人の診断士が潜んでいるらしく、 その中でビジネスとして活躍しているのはごくわずか。 それをネットを使って掘り起こそうとしているみたいです。 正しくそのミッションを伝えられないといけないので以下を引用します。 L2Lとは? local to local(地域から地域へ)の略語。 株式会社L2LがすすめるL2Lプロジェクトとは、地域活性をミッションに起ちあがる、 全国規模のビジネスプランナーのネットワークです。 ビジネスプランナー(B’s-P)とは? 中小企業企業診断士及び同等レベルのスキルのあるプロコンサルタントでL2Lメンバーの呼称である。 企業の誕生(起業)から死(廃業)までのあらゆる経営課題に対応できるスキルと経験を持ち、経営を実践できるプロコンサルタントである。 机上の空論を振り回すのではなく、常に実践をモットーに起業家、経営者の右腕としてそのビジョン、戦略、計画、理念、方針の担い手となれるプロコンサルタントである。 常に自己研鑽、研究・勉強し、最新の経営理論、情報の発信者となり、L2Lが持つ経営支援ツール、情報、全国ネットワークを駆使して地域企業の成長と発展に寄与できるプロコンサルタントである。 ネットスクエアは中小企業診断士の集まりではないのですが、 ISOやITを中心としたコンサルタントファームを形成しています。 何らかの形でアライアンスできれば面白いですね。。。