1
数年前、某セミナーでセキュリティ調査会社という存在を知りました。※高度経済成長期に子供だった世代はなんとなく「007」を彷彿とする秘密めいた、幻惑的な言葉に聞こえます。
多くは個人的な社であり、高名なコンサルなどが中心で、組織的な信頼はあるのかな?、とやや懐疑的な印象を受けました。数社は欧米文化らしいデータ解析などのメソドロジーが基本であり、特殊な装置やケーブルを自信たっぷりに提示していました。
また、ある社のプレゼンテーションではブローシャーの開示すら、「米国本社の了解がないから配布できない」という説明で、では何のためにプレゼンテーションするの?と聞いたくらいにアヤフヤでした。
最近は、相撲協会の八百長サギなどでよくこれらの調査会社がTV画面にも登場して少し驚きました。また、経済産業省やJIPDEC、JISAなどの説明にもだんだんとプレゼンテーションしているようです。
最近ではLAC社がよくインタビューに登場してくるように思います。同社は単にツールを提供するばかりでなく、啓蒙活動や解析にも明快な回答をしているように思えます。また、JIPDEC主催の情報セキュリティシンポジウムなどでもLAC社をはじめとする専門家が講義をしています。
http://www.lac.co.jp/
※なお、私は同社とは何にも関わりありませんのであくまで一般的な話題です、念のため。
いきなりセキュリティ調査を求める時代に突入したようです。
多くは個人的な社であり、高名なコンサルなどが中心で、組織的な信頼はあるのかな?、とやや懐疑的な印象を受けました。数社は欧米文化らしいデータ解析などのメソドロジーが基本であり、特殊な装置やケーブルを自信たっぷりに提示していました。
また、ある社のプレゼンテーションではブローシャーの開示すら、「米国本社の了解がないから配布できない」という説明で、では何のためにプレゼンテーションするの?と聞いたくらいにアヤフヤでした。
最近は、相撲協会の八百長サギなどでよくこれらの調査会社がTV画面にも登場して少し驚きました。また、経済産業省やJIPDEC、JISAなどの説明にもだんだんとプレゼンテーションしているようです。
最近ではLAC社がよくインタビューに登場してくるように思います。同社は単にツールを提供するばかりでなく、啓蒙活動や解析にも明快な回答をしているように思えます。また、JIPDEC主催の情報セキュリティシンポジウムなどでもLAC社をはじめとする専門家が講義をしています。
http://www.lac.co.jp/
※なお、私は同社とは何にも関わりありませんのであくまで一般的な話題です、念のため。
いきなりセキュリティ調査を求める時代に突入したようです。
■
[PR]
▲
by gentas
| 2011-06-09 07:45
| Internal Audit
11月15日はJIPDECのPMS認証団体向け講習があるので、担当してもらう人と参加します。
え?必要あるの?という声があるでしょう。
実はあまり緊急度は確かに高くありません。何故かといえば、
認証が要求しているレベル以上のことを実行しているからです。
日々金融庁や経済産業省、JIPDECを初めとする所管官庁の動向に、親会社以上に注意し、あまたの情報漏えい事件に通暁している我々です。ましてや認証機関審査委員からも高い評価を得ていると自負し、数ある関係会社の中でもトップの内部管理体制を確立・維持している、そんな(あー書いているだけでやりすぎかなあ、とも思いますが)組織の監査責任者だからでしょう。
だからといって、「我々が教えてあげよう」と主張するほど誤解しておらず、大人しく聞いてくる予定です。
帰りは、部下が学生時代によくいったという
「いもや」で夕食を摂ってから、本郷に行こうと思います。
え?必要あるの?という声があるでしょう。
実はあまり緊急度は確かに高くありません。何故かといえば、
認証が要求しているレベル以上のことを実行しているからです。
日々金融庁や経済産業省、JIPDECを初めとする所管官庁の動向に、親会社以上に注意し、あまたの情報漏えい事件に通暁している我々です。ましてや認証機関審査委員からも高い評価を得ていると自負し、数ある関係会社の中でもトップの内部管理体制を確立・維持している、そんな(あー書いているだけでやりすぎかなあ、とも思いますが)組織の監査責任者だからでしょう。
だからといって、「我々が教えてあげよう」と主張するほど誤解しておらず、大人しく聞いてくる予定です。
帰りは、部下が学生時代によくいったという
「いもや」で夕食を摂ってから、本郷に行こうと思います。
■
[PR]
▲
by gentas
| 2010-11-14 00:37
| Internal Audit
PMS内部監査の時期が来て、今日からまた長い作業が始まります。
「新金検マニュアルや年度方針はさておき、ガイドラインとの調整はほぼ問題ないでしょう」と説明すると経営者もやや安堵の様子です。
「しかし、昨年から2010基準ができるとの噂がありますので、来年の更新では煩瑣な”掘り返し”作業があるかもしれません」と説明すると、ため息をつく人もいました。
「新金検マニュアルや年度方針はさておき、ガイドラインとの調整はほぼ問題ないでしょう」と説明すると経営者もやや安堵の様子です。
「しかし、昨年から2010基準ができるとの噂がありますので、来年の更新では煩瑣な”掘り返し”作業があるかもしれません」と説明すると、ため息をつく人もいました。
■
[PR]
▲
by gentas
| 2010-10-12 23:52
| Certification
2月18、19日に
「情報セキュリティ総合的普及啓発シンポジウム」(長ったらしく、また何だかわかりにくいのはお役所仕事なので目を瞑りましょう)
が
JIPDEC主催により品川コクヨホールで開催されます。
伝え聞くところによると、政府の情報セキュリティ予算は政権交代に伴い大幅に減額され、5.5億円程度になったようですから、本シンポジウムが開催されることは意義深いと思っています。
一昨年参加したときは、内容の充実さ講師や会議の手配さといい、実に手がかかっています。
時間ある方にはおすすめのシンポジウムと思います。
http://www.isms.jipdec.jp/seminar/fukyu-sympo10.html
「情報セキュリティ総合的普及啓発シンポジウム」(長ったらしく、また何だかわかりにくいのはお役所仕事なので目を瞑りましょう)
が
JIPDEC主催により品川コクヨホールで開催されます。
伝え聞くところによると、政府の情報セキュリティ予算は政権交代に伴い大幅に減額され、5.5億円程度になったようですから、本シンポジウムが開催されることは意義深いと思っています。
一昨年参加したときは、内容の充実さ講師や会議の手配さといい、実に手がかかっています。
時間ある方にはおすすめのシンポジウムと思います。
http://www.isms.jipdec.jp/seminar/fukyu-sympo10.html
■
[PR]
▲
by gentas
| 2010-02-16 12:36
| Recommendation
2/16にプライバシーマーク認証取得団体向け研修があります。今回はなぜか?無料です。1社あたり2名参加可能というのでエントリーをしました。
従って、
個人情報保護管理者(つまり会社経営者あるいは企画部長など)、
個人情報保護監査責任者(つまり監査役など)の任にある2名です。
職にあたっては相反する2名のはずですが、退職された監査役を連れて参加しようとしています。場所は九段下です。関心ある方は下記JIPDECまで問い合わせしてはいかがでしょう。
http://privacymark.jp/seminar/schedule/H20/HogokanrisyaSeminar.pdf
従って、
個人情報保護管理者(つまり会社経営者あるいは企画部長など)、
個人情報保護監査責任者(つまり監査役など)の任にある2名です。
職にあたっては相反する2名のはずですが、退職された監査役を連れて参加しようとしています。場所は九段下です。関心ある方は下記JIPDECまで問い合わせしてはいかがでしょう。
http://privacymark.jp/seminar/schedule/H20/HogokanrisyaSeminar.pdf
■
[PR]
▲
by gentas
| 2009-02-09 23:34
| News
認証取得事業者/個人向けのJIPDEC主催の研修に参加しました。
認証取得事業者としては認証団体が研修をするから来い、と誘われば参加せざるをえません。年末の忙しい時期に行くのは甚だ困り者ですがおっとり刀で参加しました。従って、関心はもちろん以下の点です:
1)わざわざ研修するくらいだから、制度あるいは認証上の変更点はなにか?
2)被認証者の更新審査における変更点・重要ポイントはなにか?
3)被認証者の認証団体に対する要求点(つまり質問事項など)はなにか?
4)その他、認証維持上の新たな傾向はなにか?
さて、その結果はというと厳しい表現でいえば
参加するのではなかった
です。
参加者が最も関心を持っていたであろう監査のポイントについては、60代と見られる方が資料をかいつまんで
棒読み!
書かれていることもすでにわかっていることで、これじゃわざわざ来る必要はなかったです。。。。。
いくら認証や資格が役人の天下りを支えているとわかっていても少しひどすぎるのではありませんか。未曾有の不況が来ているといっても役所の方にはご自分の天下りしか関心ないのかなあ、との思いがしました。少なくとも次回以降は参加しないことにします。
認証取得事業者としては認証団体が研修をするから来い、と誘われば参加せざるをえません。年末の忙しい時期に行くのは甚だ困り者ですがおっとり刀で参加しました。従って、関心はもちろん以下の点です:
1)わざわざ研修するくらいだから、制度あるいは認証上の変更点はなにか?
2)被認証者の更新審査における変更点・重要ポイントはなにか?
3)被認証者の認証団体に対する要求点(つまり質問事項など)はなにか?
4)その他、認証維持上の新たな傾向はなにか?
さて、その結果はというと厳しい表現でいえば
参加するのではなかった
です。
参加者が最も関心を持っていたであろう監査のポイントについては、60代と見られる方が資料をかいつまんで
棒読み!
書かれていることもすでにわかっていることで、これじゃわざわざ来る必要はなかったです。。。。。
いくら認証や資格が役人の天下りを支えているとわかっていても少しひどすぎるのではありませんか。未曾有の不況が来ているといっても役所の方にはご自分の天下りしか関心ないのかなあ、との思いがしました。少なくとも次回以降は参加しないことにします。
■
[PR]
▲
by gentas
| 2008-12-16 06:12
| Internal Audit
今度の試験の締め切りは今日です。
Pマーク申請予定の方は
「要チェック」です。
なお、最近取得した人にいわせると「システムの知識がないと受からないかもしれない」ということです。甘く見ると危険です。
Pマーク申請予定の方は
「要チェック」です。
なお、最近取得した人にいわせると「システムの知識がないと受からないかもしれない」ということです。甘く見ると危険です。
■
[PR]
▲
by gentas
| 2007-08-09 05:36
| Certification
JISQ15001:2005についての申請に必要な内部監査を完了し、ようやくJIPDEC(財団法人日本情報処理開発協会)から受領書が昨日届きました。私は途中からお手伝いをしたのですが、どうやら着手から半年たってようやく受理されて最初にやらねばならなかったのは審査料の振込みです。私の記憶ではJIPDEC=通産省(今の経産省)です。審査料と共に申請するプロセスを作れば仕事はなくなるのにさすがお役所仕事です。しっかり「いらない仕事を作る」ところが素晴らしい。http://www.jipdec.jp/
内部監査はインタビューと臨場で行いました。実際にはオフサイトモニタリングというのでしょうか、膨大な規定類の読み込みが基本です。小さな組織ですが、それでもたくさんの不備事項がありました。
サラリーマン社会では、「不備」といわれると、なんだか自分のチョンボみたいに思う人が多く抵抗がある人が多いです。実際人事などに携わっている人はそういう事象を待っている場合もあります。今回は最初ですので抵抗は少なかったようです。
その後は、いわゆるPDCAサイクルを回して是正処置を各部署で行います。幸いにすべて是正されましたので監査報告書を作成するときに未決事項はありませんでした。予想では2,3については未決のままで申請するのかなあ、と思っていたのですが、妙にちゃんとした報告書になりました。
その後は社長あての報告としてマネジメントレビューを実施しました。経営者としては、あまり関心もないことでしょうが、申請スケジュールなどの話を中心に和やかかつ短時間で実施できました。そして、審査資料を一括まとめて提出してから約1週間後に審査料請求があったことになります。
さて、審査料振込みをしてようやく審査過程に入ったことになります。今後約1ヶ月で文書による質問があるようです。そうなると7月頃に文書を修正や追加資料の提出、秋頃に臨場(実査)があり、順調にいけば6ヶ月ぐらいで認証が行われるようです。
ところで、先日大日本印刷で大きな事故がありました。これについては公表後1ヶ月で正式に認証機関であるJIPDECに報告があったようです。HPでは6ヶ月以内に是正状況について確認し、是正が確認されなかった場合は認証取り消しになるようです。
http://privacymark.jp/news/20070507/HP_jikokouhyou070507.pdf
すでに個人情報保護法施行以降、約8千社が認証されていますがこのようなプロセスが明確になることは認証維持にとって的確だと思いました。
http://privacymark.jp/index.html
内部監査はインタビューと臨場で行いました。実際にはオフサイトモニタリングというのでしょうか、膨大な規定類の読み込みが基本です。小さな組織ですが、それでもたくさんの不備事項がありました。
サラリーマン社会では、「不備」といわれると、なんだか自分のチョンボみたいに思う人が多く抵抗がある人が多いです。実際人事などに携わっている人はそういう事象を待っている場合もあります。今回は最初ですので抵抗は少なかったようです。
その後は、いわゆるPDCAサイクルを回して是正処置を各部署で行います。幸いにすべて是正されましたので監査報告書を作成するときに未決事項はありませんでした。予想では2,3については未決のままで申請するのかなあ、と思っていたのですが、妙にちゃんとした報告書になりました。
その後は社長あての報告としてマネジメントレビューを実施しました。経営者としては、あまり関心もないことでしょうが、申請スケジュールなどの話を中心に和やかかつ短時間で実施できました。そして、審査資料を一括まとめて提出してから約1週間後に審査料請求があったことになります。
さて、審査料振込みをしてようやく審査過程に入ったことになります。今後約1ヶ月で文書による質問があるようです。そうなると7月頃に文書を修正や追加資料の提出、秋頃に臨場(実査)があり、順調にいけば6ヶ月ぐらいで認証が行われるようです。
ところで、先日大日本印刷で大きな事故がありました。これについては公表後1ヶ月で正式に認証機関であるJIPDECに報告があったようです。HPでは6ヶ月以内に是正状況について確認し、是正が確認されなかった場合は認証取り消しになるようです。http://privacymark.jp/news/20070507/HP_jikokouhyou070507.pdf
すでに個人情報保護法施行以降、約8千社が認証されていますがこのようなプロセスが明確になることは認証維持にとって的確だと思いました。
http://privacymark.jp/index.html
■
[PR]
▲
by gentas
| 2007-05-11 04:53
| Certification
いよいよJIPDECのシステム監査技術者試験です。午後が難関ですが、午前を侮ると撃沈でしょう。
■
[PR]
▲
by gentas
| 2007-04-01 23:12
| Certification
出遅れ感がありますがJISQ15001準拠のPマーク取得のために参加することになりました。期間は2ヶ月、その後は2年毎の更新だそうです。そもそもをしらなかったのですが、JISQ15001は1999年にできているのに昨年ver2006というものができたらしく調整が必要なようです。久しぶりに遭遇するJIPDECには様々な書式や資料があり、今日のところは監査基準などをトレースしただけです。
別に高度な技術や調整がいるわけではありませんが、せっかくだからISO審査員なども調べてみましょう。
しかし、どんどん予定していない、希望とちがう仕事が増えてきます。
別に高度な技術や調整がいるわけではありませんが、せっかくだからISO審査員なども調べてみましょう。
しかし、どんどん予定していない、希望とちがう仕事が増えてきます。
■
[PR]
▲
by gentas
| 2007-01-23 22:25
| Certification
1
