2011年10月18日火曜日
ISMS Pマークの違い
Pマークは個人情報保護マネジメントシステムの認定であり個人情報保護法を包括する。Pマークはより個人情報保護に特化している。ISMSは情報資産が対象であり、対象とする範囲が広い。個人情報保護法に特有の部分を追加することによりPマークで対象としている範囲を取り込むこともできる。最近ではISO27001を取得している組織が、追加(アドオン認証 )でJIS Q 15001によるPMS(個人情報保護マネジメントシステム)の審査をする審査機関も出てきた。Pマークを別に取得を考えているなら一度検討されてはいかがだろうか。
2011年10月13日木曜日
ISO9001 ISMS ISO27001の違い
ISO9001は品質マネジメントシステムであり、IS27001は情報セキュリティマネジメントシステムでありる。より良い品質の製品、サービスをお客様に提供することを目的とするマネジメントシステムである。プロセスアプローチを取っている。方針、計画、教育、内部監査、マネジメントレビューがあり、ISOの規格であるため、同じようにPDCAでまわしており一つの規格に通じていると自ずから規格のポイントは見えてくると思う。もうISO9001は充分吸収して、審査も必要ないので、PDCAで運用を継続しその上を目指すので、見直しの結果返上するところもでてきた。しかし主体的にやっておらず、ISO9001をアウトソーシングして、二人羽織状態になっていたして運用にメリットが見えてこない。入札や取引先との関係で仕方なくやっているができれば返上したい。などの声も聞かれるが、もう一度自分たちのためのISOということで見直しをしてはいかがだろうか。
2011年10月7日金曜日
ISO14001 ISMS ISO27001の違い
ISO140001は環境マネジメントシステムであり、IS27001は情報セキュリティマネジメントシステムでありる。ISO14001は環境に関するリスクアセスメントがあり、IS27001は情報セキュリティのリスクアセスメントがある。同様であり。方針、計画、教育、内部監査、マネジメントレビューのポイントもにかよっている。ISOの規格であるため、同じようにPDCAでまわしており一つの規格に通じていると自ずから規格のポイントは見えてくると思う。最近はISO14001の方は、コスト目的などの見直しの結果返上するところもあり、より安い費用で審査・登録をうけることができるKES(環境マネジメントシステム)やエコアクション21に替えるところやISO14001規格への適合をISO17050で自己宣言するところもでてきている。中小企業でISO14001(EMS)コスト的に維持の負担を感じているところでは検討してみてはどうだろうか。
2011年10月3日月曜日
ISMS適用宣言書とは
ISMSの要求事項の文書の中に「適用宣言書」がある。
情報資産洗い出し⇒リスク分析⇒付属書A133の管理策より管理策採用⇒適用した管理策を「適用宣言書」にまとめる。
具体的には133の管理策と管理目的を適用と適用除外を表にして整理し、管理策と管理目的の選択理由と今実施中の管理策を記し承認し版数管理すればよいと思う。管理策については、別に書きますが、情報セキュリティ基本方針、採用、コンプライアンスに関することなど必須の項目があり必須と書いてあるわけではないので不用意に解釈して不採用にするわけにはいきません。逆に情報セキュリティ上必須であれば、管理策を追加することも可能である。
注意が必要なのは、規格の要求事項に「リスクアセスメントをあらかじめ定めた間隔でレビューする」とあり、毎年最低1回はリスクアセスメントを実施するとになっているので「適用宣言書」にリスクアセスメントの結果が反映されていないとおかしいことになる。具体的にはリスクアセスメントと合わせて改版と承認があればよいと思う。適用宣言書を実際に作りケーススタディから一緒に学んで行きたいと思うので、「適用宣言書」の作り方に悩んでおられたらぜひ勉強会においで下さい。
情報資産洗い出し⇒リスク分析⇒付属書A133の管理策より管理策採用⇒適用した管理策を「適用宣言書」にまとめる。
具体的には133の管理策と管理目的を適用と適用除外を表にして整理し、管理策と管理目的の選択理由と今実施中の管理策を記し承認し版数管理すればよいと思う。管理策については、別に書きますが、情報セキュリティ基本方針、採用、コンプライアンスに関することなど必須の項目があり必須と書いてあるわけではないので不用意に解釈して不採用にするわけにはいきません。逆に情報セキュリティ上必須であれば、管理策を追加することも可能である。
注意が必要なのは、規格の要求事項に「リスクアセスメントをあらかじめ定めた間隔でレビューする」とあり、毎年最低1回はリスクアセスメントを実施するとになっているので「適用宣言書」にリスクアセスメントの結果が反映されていないとおかしいことになる。具体的にはリスクアセスメントと合わせて改版と承認があればよいと思う。適用宣言書を実際に作りケーススタディから一緒に学んで行きたいと思うので、「適用宣言書」の作り方に悩んでおられたらぜひ勉強会においで下さい。
ISMS 更新審査
登録した事業者は定期的なサーベイランス(維持審査)、3年毎の更新審査を行うということになっていて、毎年維持審査と3年毎の更新審査があります。サーベイランスはISMSが規格どうり運用されているかみることになっていて審査では半分ぐらいをチェックしているようです。更新審査では3年間の運用全体をチェックします。審査費用はサーベイランスで初回審査の約半分、更新審査で初回審査の3分2ぐらいですが、正確には審査機関に見積もりを取って行います。
主体的な導入をしないでコンサルお任せで、取得するときに何をやっているかわからず取得した事業者は、その後も大変な時間と費用をかけ、その時期になると頭を全員かかえることになっているところもあります。そうならないためにも、自主的に取得し、取得のコツを会得することは大切です。自主的に取得しPDCAをあたりまえに運用できるようになっていれば維持審査、更新審査とも自信を持って審査を受けることができると思います。ポイントは導入は自主的に、コンサルはわからないところのポイントを支援してもらうのがベストと思います。そうやって自主的に取得すれば、あなたの会社は仲間の会社にコンサルをできるようになっていることでしょう。
主体的な導入をしないでコンサルお任せで、取得するときに何をやっているかわからず取得した事業者は、その後も大変な時間と費用をかけ、その時期になると頭を全員かかえることになっているところもあります。そうならないためにも、自主的に取得し、取得のコツを会得することは大切です。自主的に取得しPDCAをあたりまえに運用できるようになっていれば維持審査、更新審査とも自信を持って審査を受けることができると思います。ポイントは導入は自主的に、コンサルはわからないところのポイントを支援してもらうのがベストと思います。そうやって自主的に取得すれば、あなたの会社は仲間の会社にコンサルをできるようになっていることでしょう。
登録:
投稿 (Atom)