2011年10月18日火曜日
ISMS Pマークの違い
Pマークは個人情報保護マネジメントシステムの認定であり個人情報保護法を包括する。Pマークはより個人情報保護に特化している。ISMSは情報資産が対象であり、対象とする範囲が広い。個人情報保護法に特有の部分を追加することによりPマークで対象としている範囲を取り込むこともできる。最近ではISO27001を取得している組織が、追加(アドオン認証 )でJIS Q 15001によるPMS(個人情報保護マネジメントシステム)の審査をする審査機関も出てきた。Pマークを別に取得を考えているなら一度検討されてはいかがだろうか。
2011年10月13日木曜日
ISO9001 ISMS ISO27001の違い
ISO9001は品質マネジメントシステムであり、IS27001は情報セキュリティマネジメントシステムでありる。より良い品質の製品、サービスをお客様に提供することを目的とするマネジメントシステムである。プロセスアプローチを取っている。方針、計画、教育、内部監査、マネジメントレビューがあり、ISOの規格であるため、同じようにPDCAでまわしており一つの規格に通じていると自ずから規格のポイントは見えてくると思う。もうISO9001は充分吸収して、審査も必要ないので、PDCAで運用を継続しその上を目指すので、見直しの結果返上するところもでてきた。しかし主体的にやっておらず、ISO9001をアウトソーシングして、二人羽織状態になっていたして運用にメリットが見えてこない。入札や取引先との関係で仕方なくやっているができれば返上したい。などの声も聞かれるが、もう一度自分たちのためのISOということで見直しをしてはいかがだろうか。
2011年10月7日金曜日
ISO14001 ISMS ISO27001の違い
ISO140001は環境マネジメントシステムであり、IS27001は情報セキュリティマネジメントシステムでありる。ISO14001は環境に関するリスクアセスメントがあり、IS27001は情報セキュリティのリスクアセスメントがある。同様であり。方針、計画、教育、内部監査、マネジメントレビューのポイントもにかよっている。ISOの規格であるため、同じようにPDCAでまわしており一つの規格に通じていると自ずから規格のポイントは見えてくると思う。最近はISO14001の方は、コスト目的などの見直しの結果返上するところもあり、より安い費用で審査・登録をうけることができるKES(環境マネジメントシステム)やエコアクション21に替えるところやISO14001規格への適合をISO17050で自己宣言するところもでてきている。中小企業でISO14001(EMS)コスト的に維持の負担を感じているところでは検討してみてはどうだろうか。
2011年10月3日月曜日
ISMS適用宣言書とは
ISMSの要求事項の文書の中に「適用宣言書」がある。
情報資産洗い出し⇒リスク分析⇒付属書A133の管理策より管理策採用⇒適用した管理策を「適用宣言書」にまとめる。
具体的には133の管理策と管理目的を適用と適用除外を表にして整理し、管理策と管理目的の選択理由と今実施中の管理策を記し承認し版数管理すればよいと思う。管理策については、別に書きますが、情報セキュリティ基本方針、採用、コンプライアンスに関することなど必須の項目があり必須と書いてあるわけではないので不用意に解釈して不採用にするわけにはいきません。逆に情報セキュリティ上必須であれば、管理策を追加することも可能である。
注意が必要なのは、規格の要求事項に「リスクアセスメントをあらかじめ定めた間隔でレビューする」とあり、毎年最低1回はリスクアセスメントを実施するとになっているので「適用宣言書」にリスクアセスメントの結果が反映されていないとおかしいことになる。具体的にはリスクアセスメントと合わせて改版と承認があればよいと思う。適用宣言書を実際に作りケーススタディから一緒に学んで行きたいと思うので、「適用宣言書」の作り方に悩んでおられたらぜひ勉強会においで下さい。
情報資産洗い出し⇒リスク分析⇒付属書A133の管理策より管理策採用⇒適用した管理策を「適用宣言書」にまとめる。
具体的には133の管理策と管理目的を適用と適用除外を表にして整理し、管理策と管理目的の選択理由と今実施中の管理策を記し承認し版数管理すればよいと思う。管理策については、別に書きますが、情報セキュリティ基本方針、採用、コンプライアンスに関することなど必須の項目があり必須と書いてあるわけではないので不用意に解釈して不採用にするわけにはいきません。逆に情報セキュリティ上必須であれば、管理策を追加することも可能である。
注意が必要なのは、規格の要求事項に「リスクアセスメントをあらかじめ定めた間隔でレビューする」とあり、毎年最低1回はリスクアセスメントを実施するとになっているので「適用宣言書」にリスクアセスメントの結果が反映されていないとおかしいことになる。具体的にはリスクアセスメントと合わせて改版と承認があればよいと思う。適用宣言書を実際に作りケーススタディから一緒に学んで行きたいと思うので、「適用宣言書」の作り方に悩んでおられたらぜひ勉強会においで下さい。
ISMS 更新審査
登録した事業者は定期的なサーベイランス(維持審査)、3年毎の更新審査を行うということになっていて、毎年維持審査と3年毎の更新審査があります。サーベイランスはISMSが規格どうり運用されているかみることになっていて審査では半分ぐらいをチェックしているようです。更新審査では3年間の運用全体をチェックします。審査費用はサーベイランスで初回審査の約半分、更新審査で初回審査の3分2ぐらいですが、正確には審査機関に見積もりを取って行います。
主体的な導入をしないでコンサルお任せで、取得するときに何をやっているかわからず取得した事業者は、その後も大変な時間と費用をかけ、その時期になると頭を全員かかえることになっているところもあります。そうならないためにも、自主的に取得し、取得のコツを会得することは大切です。自主的に取得しPDCAをあたりまえに運用できるようになっていれば維持審査、更新審査とも自信を持って審査を受けることができると思います。ポイントは導入は自主的に、コンサルはわからないところのポイントを支援してもらうのがベストと思います。そうやって自主的に取得すれば、あなたの会社は仲間の会社にコンサルをできるようになっていることでしょう。
主体的な導入をしないでコンサルお任せで、取得するときに何をやっているかわからず取得した事業者は、その後も大変な時間と費用をかけ、その時期になると頭を全員かかえることになっているところもあります。そうならないためにも、自主的に取得し、取得のコツを会得することは大切です。自主的に取得しPDCAをあたりまえに運用できるようになっていれば維持審査、更新審査とも自信を持って審査を受けることができると思います。ポイントは導入は自主的に、コンサルはわからないところのポイントを支援してもらうのがベストと思います。そうやって自主的に取得すれば、あなたの会社は仲間の会社にコンサルをできるようになっていることでしょう。
2011年9月28日水曜日
ISMS取得の費用を公的助成金で-2011年
中小企業のISMSの費用の1部を助成する、ISO27001取得の公的助成金があります。認証取得をする事業所のある都道府県、市や区の助成なので調べて見てください。対象となる費用は次のものです。
(1)審査登録機関の審査に要する費用
(2)内部監査員養成のための研修に要する費用
(3)コンサルタントによる指導に要する費用
ISMS(ISO27001)認証取得の助成制度
東京都
・足立区
ISO認証取得助成金
対象-認証を取得した区内中小企業、過去に他のISOで利用した企業も可
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
費用の1/2 限度額50万円
中小企業支援課創業支援係
・荒川区
ISO認証取得補助
対象 平成24年度末(平成25年3月31日)までに認証取得見込み
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO50001認証取得
補助対象経費の1/4で、限度額50万円、国、県と国、地方公共団体等からISO認証取得支援の補助金を受けている場合は、その補助金額を差し引いた金額を対象費用として計算する。
荒川区産業経済部経営支援課
・板橋区
ISOシリーズ認証取得支援事業補助金
対象-平成24年2月29日までに認証取得見込、認証を取得後平成23年4月1日の時点で6か月以上を経過していない企業
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO22000認証取得
費用の1/3 限度額50万円
産業経済部 産業振興課
・江戸川区
ISO認証取得、エコアクション21認証取得、プライバシーマーク認定取得助成金
対象-申請を行った年度内に認証・認定取得できる事業
助成対象費用の3分の2以内(千円未満切り捨て)で、次の金額を上限とします。
ISO9001認証取得 100万円
ISO14001認証取得 100万円
ISO27001認証取得 100万円
エコアクション21認証取得 30万円
プライバシーマーク認定取得 30万円
東京都等の補助金を利用する場合はは利用不可
生活振興部産業振興課計画係
・品川区
ISO認証取得支援
対象-費用で平成23年4月から 平成24年3月までの期間に支払が完了するもの
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO/TS16949認証取得
費用の2/3で限度額60万円
ものづくり・経営支援課 ものづくり支援係
・墨田区
ISO(国際規格)取得支援
対象-申請を行った年度の末日までに取得見込で申請以前に既に国際規格を取得していない企業
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
申請年度及び前年度10月以降に要した額の1/3限度額27万円
すみだ中小企業センター
.練馬区
ISO認証取得支援事業補助金
23年度は終了
費用の1/3、上限50万円
産業地域振興部 経済課 産業計画係
千葉県
・千葉市
認証取得支援事業
専門家派遣費用の助成
助成額についてはリンクを見てください
千葉市産業振興財団
茨城県
・日立市
対象-ISOなどの国際規格の取得費用
日立市中小企業競争力強化支援事業
1/2 限度額:300万円
群馬県
・高崎市
ISO等認証取得補助金
対象-取得に要した費用
費用の1/3、限度額70万円
高崎市商工観光部工業課
・伊勢崎市
中小企業ISO認証取得事業費補助金
対象-ISOの認証を取得する事業で審査登録機関へ支払う経費
審査登録機関の経費の1/2、限度額100万円
経済部商工労働課
埼玉県
・戸田市
ISO助成金
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO22001認証取得
費用の1/3、上限50万円
市役所経済振興課
(1)審査登録機関の審査に要する費用
(2)内部監査員養成のための研修に要する費用
(3)コンサルタントによる指導に要する費用
ISMS(ISO27001)認証取得の助成制度
東京都
・足立区
ISO認証取得助成金
対象-認証を取得した区内中小企業、過去に他のISOで利用した企業も可
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
費用の1/2 限度額50万円
中小企業支援課創業支援係
・荒川区
ISO認証取得補助
対象 平成24年度末(平成25年3月31日)までに認証取得見込み
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO50001認証取得
補助対象経費の1/4で、限度額50万円、国、県と国、地方公共団体等からISO認証取得支援の補助金を受けている場合は、その補助金額を差し引いた金額を対象費用として計算する。
荒川区産業経済部経営支援課
・板橋区
ISOシリーズ認証取得支援事業補助金
対象-平成24年2月29日までに認証取得見込、認証を取得後平成23年4月1日の時点で6か月以上を経過していない企業
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO22000認証取得
費用の1/3 限度額50万円
産業経済部 産業振興課
・江戸川区
ISO認証取得、エコアクション21認証取得、プライバシーマーク認定取得助成金
対象-申請を行った年度内に認証・認定取得できる事業
助成対象費用の3分の2以内(千円未満切り捨て)で、次の金額を上限とします。
ISO9001認証取得 100万円
ISO14001認証取得 100万円
ISO27001認証取得 100万円
エコアクション21認証取得 30万円
プライバシーマーク認定取得 30万円
東京都等の補助金を利用する場合はは利用不可
生活振興部産業振興課計画係
・品川区
ISO認証取得支援
対象-費用で平成23年4月から 平成24年3月までの期間に支払が完了するもの
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO/TS16949認証取得
費用の2/3で限度額60万円
ものづくり・経営支援課 ものづくり支援係
・墨田区
ISO(国際規格)取得支援
対象-申請を行った年度の末日までに取得見込で申請以前に既に国際規格を取得していない企業
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
申請年度及び前年度10月以降に要した額の1/3限度額27万円
すみだ中小企業センター
.練馬区
ISO認証取得支援事業補助金
23年度は終了
費用の1/3、上限50万円
産業地域振興部 経済課 産業計画係
千葉県
・千葉市
認証取得支援事業
専門家派遣費用の助成
助成額についてはリンクを見てください
千葉市産業振興財団
茨城県
・日立市
対象-ISOなどの国際規格の取得費用
日立市中小企業競争力強化支援事業
1/2 限度額:300万円
群馬県
・高崎市
ISO等認証取得補助金
対象-取得に要した費用
費用の1/3、限度額70万円
高崎市商工観光部工業課
・伊勢崎市
中小企業ISO認証取得事業費補助金
対象-ISOの認証を取得する事業で審査登録機関へ支払う経費
審査登録機関の経費の1/2、限度額100万円
経済部商工労働課
埼玉県
・戸田市
ISO助成金
ISO9001認証取得
ISO14001認証取得
ISO27001認証取得
ISO22001認証取得
費用の1/3、上限50万円
市役所経済振興課
2011年9月9日金曜日
ISMS 内部監査と ISMS 外部 監査
内部監査、外部監査とは何だろう。そこで監査の種類を整理して見ると何を言っているかがわかる。
●第1者監査(内部監査)
組織自身(自社の社員)または代理人が行う監査をいう。これが内部監査でISMSだけでなくISO9001、Pマークの内部監査も同様である。
● 第2者監査(外部監査)
顧客等、利害関係者またはその代理人が行う監査、ISMS認証取得をしていれば日本ではほとんどないが、日本企業が海外の企業が信頼できるか行うと聞いている。海外に委託するとき現地の企業がISMS認証取得していても行っていて「ISMSは国際的な認証取得なのになんで2者監査するんだよ」という現地企業の声もある。それでも国よりご当地審査の違いがあるという。
● 第3者監査(外部監査)
審査機関等の行う監査、これはご存知のように審査機関の行う審査である。
●第1者監査(内部監査)
組織自身(自社の社員)または代理人が行う監査をいう。これが内部監査でISMSだけでなくISO9001、Pマークの内部監査も同様である。
● 第2者監査(外部監査)
顧客等、利害関係者またはその代理人が行う監査、ISMS認証取得をしていれば日本ではほとんどないが、日本企業が海外の企業が信頼できるか行うと聞いている。海外に委託するとき現地の企業がISMS認証取得していても行っていて「ISMSは国際的な認証取得なのになんで2者監査するんだよ」という現地企業の声もある。それでも国よりご当地審査の違いがあるという。
● 第3者監査(外部監査)
審査機関等の行う監査、これはご存知のように審査機関の行う審査である。
世界のISMS認証取得組織数ランキング
最近インドでISMSについてお話しを伺う機会があり、インドはイギリスを抜いて認証取得数で日本についで2位になったっそうだ。日本と特に違うところはいかにも新興国らしく巨大なところが多く1000人を超えるところが普通だそうである。
世界のISMS認証取得組織数ランキング
日本 5,508
インド 1,240
イギリス 946
台湾 934
スペイン 483
中国 459
ルーマニア 303
イタリア 297
チェコ共和国 264
ドイツ 253
(参考資料JICQAニュースレター No.156 2011)
いかがでしょうか。アメリカ、フランスなどもランキングにないけど認証組織はあります。
世界のISMS認証取得組織数ランキング
日本 5,508
インド 1,240
イギリス 946
台湾 934
スペイン 483
中国 459
ルーマニア 303
イタリア 297
チェコ共和国 264
ドイツ 253
(参考資料JICQAニュースレター No.156 2011)
いかがでしょうか。アメリカ、フランスなどもランキングにないけど認証組織はあります。
2011年8月24日水曜日
予防処置
予防処置とは,ISMSの要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置のことで次ぎの文書化要求事項がある。
1 起こり得る不適合及びその原因の特定
2 不適合の発生を予防するための処置の必要性の評価
3 必要な予防処置の決定及び実施
4 とった処置の結果の記録
5 とった予防処置のレビュー
また、大きく変化したリスクに対して,予防処置についての要求事項を特定し、予防処置の優先順位は,リスクアセスメントの結果に基づいて決定する。
1 起こり得る不適合及びその原因の特定
2 不適合の発生を予防するための処置の必要性の評価
3 必要な予防処置の決定及び実施
4 とった処置の結果の記録
5 とった予防処置のレビュー
また、大きく変化したリスクに対して,予防処置についての要求事項を特定し、予防処置の優先順位は,リスクアセスメントの結果に基づいて決定する。
是正処置
是正処置とはISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにすること次の文書化要求事項がある。
1 不適合の特定
2 不適合の原因の決定
3 不適合の再発防止を確実にするための処置の必要性の評価
4 必要な是正処置の決定及び実施
5 処置の結果の記録
6 是正処置のレビュー
1 不適合の特定
2 不適合の原因の決定
3 不適合の再発防止を確実にするための処置の必要性の評価
4 必要な是正処置の決定及び実施
5 処置の結果の記録
6 是正処置のレビュー
レビューからのアウトプット
マネジメントレビューからのアウトプット
1 ISMS有効性の改善
2 リスクアセスメントとリスク対応計画更新
3 ISMSに影響を与える次のものが含まれる内外の変化に対応するためのISMS手順及び管理策の修正
①事業上の要求事項
② セキュリティ要求事項
③ 現在の事業上の要求事項を実現する業務プロセス
④ 法令又は規制の要求事項
⑤ 契約上の義務
⑥ リスクのレベル及び/又はリスク受容基準
4 必要となる経営資源
5 管理策の有効性測定方法の改善
1 ISMS有効性の改善
2 リスクアセスメントとリスク対応計画更新
3 ISMSに影響を与える次のものが含まれる内外の変化に対応するためのISMS手順及び管理策の修正
①事業上の要求事項
② セキュリティ要求事項
③ 現在の事業上の要求事項を実現する業務プロセス
④ 法令又は規制の要求事項
⑤ 契約上の義務
⑥ リスクのレベル及び/又はリスク受容基準
4 必要となる経営資源
5 管理策の有効性測定方法の改善
レビューへのインプット
マネジメントレビューのインプット項目
1 ISMS内部監査及びレビューの結果
2 ステークホルダーからのフィードバック
3 ISMSのパフォーマンス及び有効性を改善のために組織の中で利用可能な技術,製品又は手順
4 予防処置及び是正処置の状況
5 前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性又は脅威
6 有効性測定の結果
7 前回までのマネジメントレビューの結果に対するフォローアップ
8 ISMS に影響を及ぼす可能性がある,あらゆる変化
9 改善のための提案
1 ISMS内部監査及びレビューの結果
2 ステークホルダーからのフィードバック
3 ISMSのパフォーマンス及び有効性を改善のために組織の中で利用可能な技術,製品又は手順
4 予防処置及び是正処置の状況
5 前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性又は脅威
6 有効性測定の結果
7 前回までのマネジメントレビューの結果に対するフォローアップ
8 ISMS に影響を及ぼす可能性がある,あらゆる変化
9 改善のための提案
ISMSマネジメントレビュー 一般
1 ISMSマネジメントレビューは定められた間隔(少なくとも年1 回)で実施
2 レビューの結果は記録
3 情報セキュリティ基本方針及び目的、ISMS改善の機会及び変更の必要性
2 レビューの結果は記録
3 情報セキュリティ基本方針及び目的、ISMS改善の機会及び変更の必要性
ISMS内部監査
ISMS内部監査は定められた間隔で実施することが要求事項となっている。
1 この規格の要求事項に適合しているか。
2 関連する法規範を守っているか。
3 ISMSが有効に実施され,維持されているか。
4 期待どおりに実施されているか。
5 内部監査の基準,範囲,頻度及び方法の定義,監査員の選定,監査の計画・実施に関する責任及び要求事項,並びに結果報告に関する責任及び要求事項の定義の手順の文書化
6 前回までの監査結果の考慮
7 監査員は,自らの仕事を監査してはならない。
8 内部監査で不適合が出たらその部署の管理者は不適合及びその原因を除去するために遅滞なく処置をしなければならない。
9 不適合に対するフォローアップには,とった処置の検証及び検証結果の報告を含めなければならない。
10 内部監査の結果の記録
1 この規格の要求事項に適合しているか。
2 関連する法規範を守っているか。
3 ISMSが有効に実施され,維持されているか。
4 期待どおりに実施されているか。
5 内部監査の基準,範囲,頻度及び方法の定義,監査員の選定,監査の計画・実施に関する責任及び要求事項,並びに結果報告に関する責任及び要求事項の定義の手順の文書化
6 前回までの監査結果の考慮
7 監査員は,自らの仕事を監査してはならない。
8 内部監査で不適合が出たらその部署の管理者は不適合及びその原因を除去するために遅滞なく処置をしなければならない。
9 不適合に対するフォローアップには,とった処置の検証及び検証結果の報告を含めなければならない。
10 内部監査の結果の記録
教育、訓練、意識向上及び力量
力量とは能力と同じと考えてよい。
1 ISMSに影響がある業務に従事する要員に必要な力量を決める。
2 有効な力量を持つように教育・訓練を実施するか,必要な力量を持つ要員の採用をする。
3 教育・訓練の有効性を評価する。
4 教育,訓練,技能,経験及び資格についての記録
1 ISMSに影響がある業務に従事する要員に必要な力量を決める。
2 有効な力量を持つように教育・訓練を実施するか,必要な力量を持つ要員の採用をする。
3 教育・訓練の有効性を評価する。
4 教育,訓練,技能,経験及び資格についての記録
経営資源の提供
ISMSに必要な経営資源を決定し,提供しなければならない。経営資源とは言うまでもなくひと、もの、かねである。要求事項として項目はあるが他の要求事項と重なりあっているので特に記するものはない。
経営陣のコミットメント
経営陣のコミットメントの証拠として次のものが要求事項になっている。
1 ISMS基本方針の確立
2 ISMSの目的設定及び計画の確立
3 情報セキュリティの役割及び責任の確立
4 組織への周知項目
情報セキュリティ目的達成の重要性
情報セキュリティ基本方針に適合の重要性
法規範のもとでの責任
継続的改善の必要性
5 経営資源の提供
6 リスク受容基準及びリスクの受容可能レベルの決定
7 内部監査の実施
8 マネジメントレビューの実施
1 ISMS基本方針の確立
2 ISMSの目的設定及び計画の確立
3 情報セキュリティの役割及び責任の確立
4 組織への周知項目
情報セキュリティ目的達成の重要性
情報セキュリティ基本方針に適合の重要性
法規範のもとでの責任
継続的改善の必要性
5 経営資源の提供
6 リスク受容基準及びリスクの受容可能レベルの決定
7 内部監査の実施
8 マネジメントレビューの実施
記録の管理
記録の管理として要求事項にあるものは次のものである。
1 ISMS の有効性又はパフォーマンスに影響を及ぼす可能性のある活動及び事象の記録
例として,来訪者記録帳,監査報告書,記入済みのアクセス認可の書式
2 教育,訓練,技能,経験及び資格についての記録
3 内部監査の記録
4 マネジメントレビューの結果の記録
5 是正処置の結果の記録
6 予防処置の結果の記録
1 ISMS の有効性又はパフォーマンスに影響を及ぼす可能性のある活動及び事象の記録
例として,来訪者記録帳,監査報告書,記入済みのアクセス認可の書式
2 教育,訓練,技能,経験及び資格についての記録
3 内部監査の記録
4 マネジメントレビューの結果の記録
5 是正処置の結果の記録
6 予防処置の結果の記録
文書管理
1 文書の発行前承認
2 文書を見直し更新あれば再承認
3 文書の改変と改版状況の特定
4 必要なとき,適用する文書の版が使用可能であること
5 読みやすく識別可能であること
6 文書管理手順に従った分類区分の受渡し,保管,処分
7 外部文書の識別
8 文書配付の管理
9 廃止文書の誤使用防止と管理
10 文書管理手順書の作成
2 文書を見直し更新あれば再承認
3 文書の改変と改版状況の特定
4 必要なとき,適用する文書の版が使用可能であること
5 読みやすく識別可能であること
6 文書管理手順に従った分類区分の受渡し,保管,処分
7 外部文書の識別
8 文書配付の管理
9 廃止文書の誤使用防止と管理
10 文書管理手順書の作成
文書化に関する要求事項 一般
ISMS 文書には次の文書の要求事項がある。
1 ISMS 基本方針及び目的
2 ISMS の適用範囲
3 手順
4 管理策
5 リスクアセスメントの方法
6 リスクアセスメント報告
7 リスク対応計画
8 組織が必要とする文書化した手順
9 管理策の有効性測定
10 この規格が要求する記録
11 適用宣言書
1 ISMS 基本方針及び目的
2 ISMS の適用範囲
3 手順
4 管理策
5 リスクアセスメントの方法
6 リスクアセスメント報告
7 リスク対応計画
8 組織が必要とする文書化した手順
9 管理策の有効性測定
10 この規格が要求する記録
11 適用宣言書
ISMSの維持及び改善
1 ISMSの継続的に改善策を導入する。
2 是正処置及び予防処置、自他の組織の経験から学んだ教訓を活用する。
3 ステークホルダーへの処置及び改善策の伝達と合意
4 改善策の目的の達成
2 是正処置及び予防処置、自他の組織の経験から学んだ教訓を活用する。
3 ステークホルダーへの処置及び改善策の伝達と合意
4 改善策の目的の達成
ISMSの監視及びレビュー
1 ISMSの監視およびレビュ-の目的
①処理結果の誤り検出
②セキュリテイ違反、ルール違反の特定
③セキュリティ活動の経営陣への報告
④セキュリティ事象の検知とその結果からセキュリティインシデントを防止
⑤セキュリティ違反の処置とその有効性判断
2 ISMSの有効性の定期的レビューの実施と項目
①ISMS基本方針と目的
②セキュリティ管理策
③内部監査の結果
④インシデント報告
⑤有効性測定の結果
⑥提案
⑦ステークホルダーからのフィードバック
3 管理策の有効性測定
4 リスクアセスメントの定期的間隔での実施と項目
①残留リスク
②リスク受容可能レベル
③次の変化を考慮する-組織、技術、事業の目的及びプロセス、特定した脅威、管理策の有効性、法規範、契約上の義務、社会的変化
5 内部監査を定期的間隔で実施
6 マネジメントレビューの定期的実施
7 セキュリティ計画の更新
他の要求事項項目と重なるものもあり、重なるものは他を満たすと要求事項はクリアできる。
①処理結果の誤り検出
②セキュリテイ違反、ルール違反の特定
③セキュリティ活動の経営陣への報告
④セキュリティ事象の検知とその結果からセキュリティインシデントを防止
⑤セキュリティ違反の処置とその有効性判断
2 ISMSの有効性の定期的レビューの実施と項目
①ISMS基本方針と目的
②セキュリティ管理策
③内部監査の結果
④インシデント報告
⑤有効性測定の結果
⑥提案
⑦ステークホルダーからのフィードバック
3 管理策の有効性測定
4 リスクアセスメントの定期的間隔での実施と項目
①残留リスク
②リスク受容可能レベル
③次の変化を考慮する-組織、技術、事業の目的及びプロセス、特定した脅威、管理策の有効性、法規範、契約上の義務、社会的変化
5 内部監査を定期的間隔で実施
6 マネジメントレビューの定期的実施
7 セキュリティ計画の更新
他の要求事項項目と重なるものもあり、重なるものは他を満たすと要求事項はクリアできる。
ISMSの導入および運用
1 リスク対応計画を策定する。経営陣の適切な活動,経営資源,必要資金,役割責任体制,優先順位を特定し「誰が」「何を」「いつまでに」実現していくかを明確しリスク対応計画を実施する。
2 適用宣言書で選択した管理策を実施する。
3 管理策の有効性測定とその測定の利用を規定する文書を作成する。測定は比較可能で再現可能であること。
4 情報セキュリティ教育・訓練を実施する。
5 ISMSの運用を管理する。
6 情報セキュリティ事象の検知
7 セキュリティインシデントに対応する手順を実施する。
2 適用宣言書で選択した管理策を実施する。
3 管理策の有効性測定とその測定の利用を規定する文書を作成する。測定は比較可能で再現可能であること。
4 情報セキュリティ教育・訓練を実施する。
5 ISMSの運用を管理する。
6 情報セキュリティ事象の検知
7 セキュリティインシデントに対応する手順を実施する。
ISMS ロゴについて
ISMSを認証取得すると名刺、ホームページ、会社案内などにロゴを使用することができる。ISMSを取得している企業はロゴを掲載することにより、情報セキュリティの取り組みの信頼性をアピールし競合他社との差別化を計ることができる。名刺をISMSのロゴマークを見ると、情報セキュリティの安全・安心の印象を持ち、会社自体しっかりした会社であるとのイメージを持たれることが多いようです。大企業においても自主取得できないところがありひとつのステータスシンボルとしての意味もあります。ちなみにJIPDECのISMSロゴマークは、情報セキュリティは人によって守られることをイメージしているそうです。
2011年8月22日月曜日
ISO27001、ISO20000の違い
ISO27001はISMS(情報セキュリティマネジメントシステム)の規格であり、対象は情報資産であり、適用範囲は全社、部門、場所など任意、本文の要求事項と付属書Aの133の管理策で構成される。
ISO20000-1はITSMS(ITサービスマネジメントシステム)の規格であり、対象はITサービスであり、適用範囲はITサービスを提供する組織または提供部門である。次の13のプロセスを規定している
ーサービス提供プロセスー
・サービスレベル管理プロセス
・サービスの報告プロセス
・サービス継続及び可用性の管理プロセス
・サービスの予算業務及び会計業務プロセス
・容量/能力管理プロセス
・情報セキュリティ管理プロセス
-関係プロセス-
・顧客関係管理プロセス
・供給者管理プロセス
ー解決プロセスー
・インシデント管理プロセス
・問題管理プロセス
-統合的制御プロセス-
・構成管理プロセス
・変更管理プロセス
-リリースプロセス-
・リリース管理プロセス
また必要に応じてITIL等のベストプラクティスを導入する。文書化については方針・計画、SLA、この規格が要求するプロセスおよび手順、この規格が要求する記録となっており、ITサービスに関した内容となっている。詳しくは規格書およびJIPDECの資料にあたると良い。
ISO20000-1はITSMS(ITサービスマネジメントシステム)の規格であり、対象はITサービスであり、適用範囲はITサービスを提供する組織または提供部門である。次の13のプロセスを規定している
ーサービス提供プロセスー
・サービスレベル管理プロセス
・サービスの報告プロセス
・サービス継続及び可用性の管理プロセス
・サービスの予算業務及び会計業務プロセス
・容量/能力管理プロセス
・情報セキュリティ管理プロセス
-関係プロセス-
・顧客関係管理プロセス
・供給者管理プロセス
ー解決プロセスー
・インシデント管理プロセス
・問題管理プロセス
-統合的制御プロセス-
・構成管理プロセス
・変更管理プロセス
-リリースプロセス-
・リリース管理プロセス
また必要に応じてITIL等のベストプラクティスを導入する。文書化については方針・計画、SLA、この規格が要求するプロセスおよび手順、この規格が要求する記録となっており、ITサービスに関した内容となっている。詳しくは規格書およびJIPDECの資料にあたると良い。
2011年8月4日木曜日
よく見かけるISO、QMS ISO9001,EMS ISO14000, ITIL ISO2000, ISO22000
ISO27001とともに、審査機関や専門家のホームページで見かけるISOがある。
ISO9001 QMS(Quality Management System)品質マネジメントシステムのことで、製品、サービスの品質管理のマネジメントシステム規格である。
ISO14001 EMS(Environmental Management System)環境マネジメントシステムのことで、組織活動が環境に及ぼす影響を最小限にくい止めることを目的に定められたマネジメントシステム規格である。
ISO20000 ITSMS(Information Technology Service Management System)ITサービスを提供する組織のITサービスマネジメントシステムの規格である。
ISO22000 FSMS(Food Safety Management System) 食品安全マネジメントシステムの規格である。
ISO9001 QMS(Quality Management System)品質マネジメントシステムのことで、製品、サービスの品質管理のマネジメントシステム規格である。
ISO14001 EMS(Environmental Management System)環境マネジメントシステムのことで、組織活動が環境に及ぼす影響を最小限にくい止めることを目的に定められたマネジメントシステム規格である。
ISO20000 ITSMS(Information Technology Service Management System)ITサービスを提供する組織のITサービスマネジメントシステムの規格である。
ISO22000 FSMS(Food Safety Management System) 食品安全マネジメントシステムの規格である。
2011年7月20日水曜日
ISMSの確立
1 ISMS適用範囲を定義する
事業・組織・所在地・資産・技術など事業を明確化する。範囲の適用除外があれば理由も明確化する。
2 ISMS基本方針を決める
情報セキュリティの活動方針を原則を目的、事業、契約、法令を考慮して決める。経営陣が承認する。
3 リスクアセスメントの取り組み方法の策定
リスクアセスメント方法とリスクの受容レベルを決める。リスクアセスメントは比較可能で再現可能な方法であれば良い
4 リスクを特定する
情報資産を洗い出し、管理者、脅威、脆弱性、CIAが失われたときどういう結果になるか予想する。
5 リスク分析・評価の実施
セキュリティ障害の4の結果を考慮した事業への影響、実施している管理策を考慮した発生可能性のアセスメントを行い、リスクレベルを算定し、対応が必要か判断する。
6 リスク対応を選択する
リスクの対応選択して決定する。
7 リスク対応のため管理策を選択する
リスク対応として管理策が必要なものは付属書Aから選択して実施する。
8 残留リスクの経営陣による承認
リスク対応の実施後の残留リスクについて経営陣の承認を得る
9 ISMSの導入・運用の経営陣による許可
導入・運用の経営陣による許可を得て運用を開始する
10 適用宣言書の作成
付属書Aの管理策について選択、適用除外を文書化し、その理由も記す
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
事業・組織・所在地・資産・技術など事業を明確化する。範囲の適用除外があれば理由も明確化する。
2 ISMS基本方針を決める
情報セキュリティの活動方針を原則を目的、事業、契約、法令を考慮して決める。経営陣が承認する。
3 リスクアセスメントの取り組み方法の策定
リスクアセスメント方法とリスクの受容レベルを決める。リスクアセスメントは比較可能で再現可能な方法であれば良い
4 リスクを特定する
情報資産を洗い出し、管理者、脅威、脆弱性、CIAが失われたときどういう結果になるか予想する。
5 リスク分析・評価の実施
セキュリティ障害の4の結果を考慮した事業への影響、実施している管理策を考慮した発生可能性のアセスメントを行い、リスクレベルを算定し、対応が必要か判断する。
6 リスク対応を選択する
リスクの対応選択して決定する。
7 リスク対応のため管理策を選択する
リスク対応として管理策が必要なものは付属書Aから選択して実施する。
8 残留リスクの経営陣による承認
リスク対応の実施後の残留リスクについて経営陣の承認を得る
9 ISMSの導入・運用の経営陣による許可
導入・運用の経営陣による許可を得て運用を開始する
10 適用宣言書の作成
付属書Aの管理策について選択、適用除外を文書化し、その理由も記す
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
ISMS認証とは
ISMS(情報セキュリティマネジメントシステム)の審査機関にる第三者認証制度の認証取得のことを言っていることが多い。ISO27001認証と言われることもある。審査機関の審査に合格してISMS認証を取得するには18項目の要求事項を実現し規格に適合していなければならない。審査で不適合の指摘を受けた場合には是正処置が必要である。その是正処置の対応は審査機関により違いがあるので確認することが重要である。
勉強会による主体的な認証取得には、余裕を持って1年程度は考えていた方が良い。無理に早めると費用が納得できない金額となることも考慮すべきである。早めて見積もりから大幅に費用がオーバーし、そのためトラウマになった企業もあり何のためのISMSを取得するのか目的から考えるべきと思う。今年末から3月までに取得目指すなら、今開始では自社のみ取り組みはすでに遅く、コンサルタントの支援を検討すべきと思う。
勉強会による主体的な認証取得には、余裕を持って1年程度は考えていた方が良い。無理に早めると費用が納得できない金額となることも考慮すべきである。早めて見積もりから大幅に費用がオーバーし、そのためトラウマになった企業もあり何のためのISMSを取得するのか目的から考えるべきと思う。今年末から3月までに取得目指すなら、今開始では自社のみ取り組みはすでに遅く、コンサルタントの支援を検討すべきと思う。
2011年7月18日月曜日
BCP策定
自然災害、人為災害、事故等が発生しても事業を続けていくには、事前に対応を計画し、準備訓練することが必要となる。その計画を事業継続計画と言い、business continuity planの頭文字をとりBCPと略している。
ISMSでもBCPを策定するが、BCP策定が社会的要求になりそうなこともあり先行して策定の勉強会を予定します。「備えあれば憂い無し」ぜひ皆様の積極的なBCP策定に参加してください。ご希望の方はお問い合わせかFAXでご連絡お願いします。
ISMSでもBCPを策定するが、BCP策定が社会的要求になりそうなこともあり先行して策定の勉強会を予定します。「備えあれば憂い無し」ぜひ皆様の積極的なBCP策定に参加してください。ご希望の方はお問い合わせかFAXでご連絡お願いします。
2011年7月14日木曜日
事業継続計画とバックアップ
東日本震災で、事業継続計画の有効性が改めて問われている。地震や津波で情報システムが被害を受けた、パソコンや重要書類やらを津波や火災で全部失った。電力供給不安はどう対処したらよいか。原発事故等で事業所に立ち入れなくなった。勉強会では災害で本当に有効な事業継続計画について皆で考えたい。
また、大災害でも本当に機能するバックアップを検討する必要があるだろう。従来は関東近県にバックアップ拠点を設定していた会社も多いと思うが、事業継続の観点から、遠隔地のバックアップを考えることが必要と思う。その場合、コスト、どのくらいの時間で復旧できるか、ちゃんと機能するか模擬訓練などもすると有効性を確認できると思う。具体的には何を使うか調査し、バックアップする情報洗い出し、バックアップレベル、リカバリ、リストア、システム概要、復旧時間、データセンターサービスの拠点などを比較する。
ISMS認証取得と情報セキュリティ対策
ISMS 認証取得に求められる情報セキュリティ対策はどうするのか?
具体的な方法はたくさんあります。それよりも先にやるのはなにか ?
ISO27001の要求事項にじっくり取り組んでよく見てみましょう。
構築と運用の実際は、レビュー、内部監査はどのようにやるのか。
情報資産、リスク評価、リスク分析、インシデント、ログ、用語について
なぜするのか。ISMSの疑問、認証取得に本当に必要な事項を
みんなで、取り組み2次審査合格を目指す。
ISMS 認証取得勉強会では情報セキュリティ専門家によるミニレクチャーを
交えた自主勉強会を開催いたします。主体的な情報セキュリティキャリア
形成を目指し、実際の認証取得に関心をお持ちの皆様には、ぜひご参加
いただきたくご案内申し上げます。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
具体的な方法はたくさんあります。それよりも先にやるのはなにか ?
ISO27001の要求事項にじっくり取り組んでよく見てみましょう。
構築と運用の実際は、レビュー、内部監査はどのようにやるのか。
情報資産、リスク評価、リスク分析、インシデント、ログ、用語について
なぜするのか。ISMSの疑問、認証取得に本当に必要な事項を
みんなで、取り組み2次審査合格を目指す。
ISMS 認証取得勉強会では情報セキュリティ専門家によるミニレクチャーを
交えた自主勉強会を開催いたします。主体的な情報セキュリティキャリア
形成を目指し、実際の認証取得に関心をお持ちの皆様には、ぜひご参加
いただきたくご案内申し上げます。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
2011年6月22日水曜日
ISMSとwiki
wikipediaにISMSを調べる。すると検索では「情報セキュリティマネジメントシステム」、つぎに「ISO/IEC 27000 シリーズ
」、「ISO/IEC 27002」と続いて「ISO27001」は上位にはない。「ISMS」は「情報セキュリティマネジメントシステム」と内容は同じである。
」、「ISO/IEC 27002」と続いて「ISO27001」は上位にはない。「ISMS」は「情報セキュリティマネジメントシステム」と内容は同じである。
2011年6月16日木曜日
ISO審査員-選ぶことができます。
ISOの審査員は、Pマークの審査員と違い、審査機関と同様に選ぶことができる。要求事項は規格だが、審査員により解釈が違うことがある。一度審査員が決まると3年間は同じ審査員が担当することが多く、会社にとって一番よい、審査員を選ぶことが成長戦略上重要である。そのためには審査員に会ってじっくり話を聞いて決めることがよいだろう。
ISMS認証基準とは
ISMS認証基準は、第三者である審査機関が、審査を受ける企業のISMSの適合性を評価するための基準である。JIPDECによりISMS認証基準V1.0,v2.0があったが、2007.11にJISQ27001へ移行で廃止となり、現在のISMSの認証基準は、JIS Q 27001:2006(ISO/IEC 27001:2005)がISMS認証基準となっている。
ISO27001、ISO27002は定期的に見直し改定があり、2012年か2013年に改定されるという話がある。
ISO27001、ISO27002は定期的に見直し改定があり、2012年か2013年に改定されるという話がある。
ISO27001とISMS
27001 はISOの情報セキュリティマネジメントシステムの国際規格であり、同じことである。
2005年に改定されたので、「ISO/IEC27001:2005」と2005がついている。
IECは国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で作ったのでIECとなっている。
日本では日本工業規格として2006年に翻訳されJIS規格となったので「JISQ27001:2006」となっている。
2005年に改定されたので、「ISO/IEC27001:2005」と2005がついている。
IECは国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で作ったのでIECとなっている。
日本では日本工業規格として2006年に翻訳されJIS規格となったので「JISQ27001:2006」となっている。
ISO セキュリティの規格ISO27001とISO27002
ISO27001はISMSを導入・運用するための規格化された要求事項と付属書Aの管理策で構成される。リスク対応のための,管理目的及び管理策を附属書Aの中から選択しなければならない。付属書AはISO27002の5から15までの目的と管理策をそっくり抜き出したものである。管理策の選択と実施の詳細の参考となる。
ISMS 一般要求事項
ISMS 一般要求事項、すなわち ISMS 要求事項 (ISO 27001 要求事項) のことである。
規格ISO27001の要求事項を表している。認証を取得する適用範囲の組織や会社は、その全体の活動の中でリスクについて文書化してISMSを確立して、導入,運用,監視,レビュー,維持、改善しなければならない。それにはPDCAモデルを導入する。
PDCAに関したISMS 要求事項を俯瞰して見る。
P(Plan:計画)4.2.1 ISMSの確立運営
ISMS基本方針、適用範囲、適用宣言書、リスクアセスメント、リスク対応計画、その際に経営陣の責任として 5.1経営陣のコミットメント 5.2経営資源の提供がある。
D(Do:実行)4.2.2リスク対応計画の実行・管理策の実施、ISMSの教育・訓練の実施(5.2.2参照)
C(Check:点検)4.2.3ISMSのモニタリングとレビュー、定期的レビュー:マネジメントレビュ-、ISMS有効性のレビュー(ISMS 基本方針と目的のレビューとセキュリティ管理策のレビュー)定められた間隔で実施: リスクアセスメント、有効性測定、内部監査
A(Act:改善実行)4.24維持及び改善、モニタリングとレビューの結果を受けて維持改善を実施する。是正処置、予防処置を実施する。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
規格ISO27001の要求事項を表している。認証を取得する適用範囲の組織や会社は、その全体の活動の中でリスクについて文書化してISMSを確立して、導入,運用,監視,レビュー,維持、改善しなければならない。それにはPDCAモデルを導入する。
PDCAに関したISMS 要求事項を俯瞰して見る。
P(Plan:計画)4.2.1 ISMSの確立運営
ISMS基本方針、適用範囲、適用宣言書、リスクアセスメント、リスク対応計画、その際に経営陣の責任として 5.1経営陣のコミットメント 5.2経営資源の提供がある。
D(Do:実行)4.2.2リスク対応計画の実行・管理策の実施、ISMSの教育・訓練の実施(5.2.2参照)
C(Check:点検)4.2.3ISMSのモニタリングとレビュー、定期的レビュー:マネジメントレビュ-、ISMS有効性のレビュー(ISMS 基本方針と目的のレビューとセキュリティ管理策のレビュー)定められた間隔で実施: リスクアセスメント、有効性測定、内部監査
A(Act:改善実行)4.24維持及び改善、モニタリングとレビューの結果を受けて維持改善を実施する。是正処置、予防処置を実施する。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
2011年6月14日火曜日
ISMS認証取得の流れ-プロジェクト発足から合格
ISMS(ISO27001)認証取得のプロジェクト発足から審査に合格して認証を取得する
流れは次のようになります。
”・”はその作業のアウトプットとなる文書です。文書には要求事項がある
ので漏れないようにチェックしながら作りましょう。
ここには書いてありませんが費用や予算、人員など経営上の資源割り当
ては当然です。(ISO27001の規格の中にもあります。)
1ISMS(ISO27001)社内学習計画
2ISMS 認証取得プロジェクト発足
ISMS 認証取得プロジェクト体制
スケジュール策定
範囲の決定
・組織図
・ISMS体制図
・認証取得スケジュール
・レイアウト図
・ISMS範囲図
・ネットワーク図
・ステークホルダー表
3リスクアセスメント
情報資産の洗い出し
情報資産のグループ化
リスク評価
リスクアセスメントを実施
リスク対応計画策定
・情報資産台帳
・リスクアセスメント結果報告書
・リスク対応計画
・適用宣言書
4 規定・手順書策定
・各規定
5 審査機関選定
6 導入許可のマネジメントレビュー
・マネジメントレビュー議事録
7 導入と運用開始
8 ISMS教育の実施
9 内部監査
・内部監査報告書
・有効性測定結果
10 マネジメントレビュー
・マネジメントレビュー議事録
11 1次審査
12 審査指摘事項対応
13 2次審査
14 審査指摘事項対応
15 合格して認証取得
16 次年度ISMSスケジュール策定
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
流れは次のようになります。
”・”はその作業のアウトプットとなる文書です。文書には要求事項がある
ので漏れないようにチェックしながら作りましょう。
ここには書いてありませんが費用や予算、人員など経営上の資源割り当
ては当然です。(ISO27001の規格の中にもあります。)
1ISMS(ISO27001)社内学習計画
2ISMS 認証取得プロジェクト発足
ISMS 認証取得プロジェクト体制
スケジュール策定
範囲の決定
・組織図
・ISMS体制図
・認証取得スケジュール
・レイアウト図
・ISMS範囲図
・ネットワーク図
・ステークホルダー表
3リスクアセスメント
情報資産の洗い出し
情報資産のグループ化
リスク評価
リスクアセスメントを実施
リスク対応計画策定
・情報資産台帳
・リスクアセスメント結果報告書
・リスク対応計画
・適用宣言書
4 規定・手順書策定
・各規定
5 審査機関選定
6 導入許可のマネジメントレビュー
・マネジメントレビュー議事録
7 導入と運用開始
8 ISMS教育の実施
9 内部監査
・内部監査報告書
・有効性測定結果
10 マネジメントレビュー
・マネジメントレビュー議事録
11 1次審査
12 審査指摘事項対応
13 2次審査
14 審査指摘事項対応
15 合格して認証取得
16 次年度ISMSスケジュール策定
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
情報セキュリティ担当者がいない
ISMS認証は取得したいが、情報セキュリティ担当者がいない。
それでも取得できるのか。今すぐ、社長さんが中心になって
情報セキュリティ役員と情報セキュリティ担当者を決めてくださ
い。そこから出発です。もちろん情報セキュリティ役員は社長さん
がされてもOKです。もし人数が少ないなら、3人しかいない会社
でもISMS認証を取得している会社があります。1人は自分で
自分を監査することになり要求事項を満たすことができないので
認証取得できません。もう少しがんばって社員を増やしてください。
そこが出発点です。費用は審査機関によって違います。少ない
と費用も少なくなりますが下限があります。その辺も一緒に勉強
しましょう。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
それでも取得できるのか。今すぐ、社長さんが中心になって
情報セキュリティ役員と情報セキュリティ担当者を決めてくださ
い。そこから出発です。もちろん情報セキュリティ役員は社長さん
がされてもOKです。もし人数が少ないなら、3人しかいない会社
でもISMS認証を取得している会社があります。1人は自分で
自分を監査することになり要求事項を満たすことができないので
認証取得できません。もう少しがんばって社員を増やしてください。
そこが出発点です。費用は審査機関によって違います。少ない
と費用も少なくなりますが下限があります。その辺も一緒に勉強
しましょう。
勉強会の登録は会員登録からお申し込みください。お待ちして
います。
2011年6月13日月曜日
2011年度ISMS認証取得勉強会会員登録受付中
ISMS認証取得勉強会では、何があっても主体的に自分たちでISMS審査に合格し認証取得を達成するんだという意欲ある企業の経営者と担当者の会員を募集 しております。プロジェクトの進み具合を見て実際に審査を受けていただきます。今年度は会員は100名限定とします。社内勉強も含めて取り組まれることをお勧めいたします。会員企業の勉強会参加枠は2名なので例 えば取り組みに4人メンバーがおられて、内部監査の時は別のお2人のように参加されることも自由です。その場合情報を共有されることをよろしくお願いします。
2011年2月13日日曜日
本当に良いISMS(ISO27001)の認証取得の仕方
ISMSの認証取得の容易さは、企業の成熟度に依存します。会社の運用の規則、ネットワーク、お取引先のルールがあり、サービス窓口があり、毎日の仕事がきちんと報告され、その内容がチェックされているならあとは事務局のリソースをご用意できれば、自力で取得でき、費用もヒトケタ安く取得できるかも知れません。
しかし、成熟度が低い場合は困難で費用もかかります。たとえばパソコンを使って文章を作る人がいない。会社で規則はあっても、その規則が周知されていない、上司が規則そのものになっている状態だと取得することは大変な事業になると、思います。その場合は少しずつ階段を上がるようにステップアップし、経営のレベルと企業メンバーのモラルアップをISMSの導入をツールとして利用するというのもあると思います。
しかし、成熟度が低い場合は困難で費用もかかります。たとえばパソコンを使って文章を作る人がいない。会社で規則はあっても、その規則が周知されていない、上司が規則そのものになっている状態だと取得することは大変な事業になると、思います。その場合は少しずつ階段を上がるようにステップアップし、経営のレベルと企業メンバーのモラルアップをISMSの導入をツールとして利用するというのもあると思います。
登録:
投稿 (Atom)