内部監査スタート
内部監査が始まりました。
営業のスティーブ兄さんは監査リーダと化し、
パソコンを持って、一人、部屋に篭りました。
営業のスティーブ兄さんはすごい特技を持っています。
この間の現地審査の時。
スピッツのように吠え倒していた女性の審査員に、
個人情報保護責任者で技術屋出身のチャールズ兄さんと私は、
怒りと無力感が交錯して爆発寸前。
しかし、スティーブ兄さんが説明を始めると、
スピッツは、ピタリと黙って、うっとり(えっ!)
チャールズ兄さんが説明を始めると、
スピッツ先生はまた吠え出し、
スティーブ兄さんが話し始めると、
またうっとり。
スティーブ兄さんの女受けの良さが、
いかんなく発揮された一瞬でした。
スティーブ兄さんの女受けの良さは、
弊社ISMSの上で、
最も重要な情報資産であります。
スティーブ兄さんが内部監査計画を策定するときの口癖は、
「めんどくせー」「頭いてぇー」
しかし、最も社内規定を把握している、
非常に責任感の強い、尊敬すべき兄さんに、
小生もうっとりの日々です。
わかりずらい表現
プライバシーマーク制度設置及び運営要領(10情報開・セ第126号)が改正され、本年5月1日より施行となります。
こんな風になりました。まずは、読んでみてください。
旧:(3)申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者
新:(3)個人情報の取扱いにおいて発生した個人情報の外部への漏洩その他情報主体の権利利益の侵害により、この要領に基づき別に定める基準により判断された申請を不可とする期間を経過していない事業者
引用:http://privacymark.jp/pr/20060331selfreg.html
表現がわかりずらくて理解に苦労してしまいました(^^;国民を保護する法律なら、国民にわかりやすく・・・って制度の条文ってこんな風なんでしょうか。だったら、社内のセキュリティポリシは、わかりやすい表現にして、みんなが理解して、みんなで議論して、みんなが守れるルールで守る。事務局の心得にしたいです。
余談。私の持論ですが・・・人の気持ちって、文章に出るんですよ。
新人教育のお時間です。
さて、うちの会社にも新入社員が入ってきます。
夏にこの会社に拾っていただき、
社会人1年生気取りだった私にもついに後輩が・・・(涙)
さあ、ちょっと調子に乗って、セキュリティ教育を致しましょう。
と思ったところで、シマンテックの富樫さんが、
企業のセキュリティ教育に警鐘を鳴らしています。
企業の比較的高度なセキュリティ教育と、
従業員のセキュリティリテラシが乖離しているというのです。
参照:http://www.bcm.co.jp/itxp/2006/03/cat02/31170000.php
この受講者の行為って、初級シスアドの問題思い出すなー
大事なのは、「注意する気持ち」を喚起することだと富樫さんは説きます。
自分の財産が脅かされる、という動機付けを行ってから、
リスクと対策を説明するといいそう。
そして富樫さんは情報セキュリティリテラシの向上に必要な項目として、
1. 個人インターネットユーザとしての情報セキュリティに関する「リスクの認識」と「やるべきこと」の理解
2. 企業人・組織人として「情報セキュリティ問題が社会や組織に及ぼす影響の理解」と「守るべきこと」
3. 所属する組織が定める個別の情報セキュリティ規約・ポリシーの理解と準拠
引用:http://www.bcm.co.jp/itxp/2006/03/cat02/31170000.php
が必要ではないかと提言しています。
企業は3に徹してしまいますよね。
教育の記録が残っていることが大事(=認証の維持や、コンプライアンス経営)。
教育によってリテラシの向上が図れたかどうかは二の次というのが、
経営層の本音のような気がします。
いや、私の最近の本音かも・・・流されてたなぁ。
セキュリティの向上を通して、
顧客満足と従業員満足を向上させる
私の目論見が折れるところでした。
うん、富樫さん、実践してみます。
情報セキュリティは誰のため?
IT Pro内の記事です。
http://itpro.nikkeibp.co.jp/article/COLUMN/20060227/230955/
情報セキュリティ対策をきちんとしていること。
それに説明責任を負うこと。
それは、すべて、当社の利害関係者の権利を守るため。
ご飯を食べさせていただいている、お客様の権利を守るため。
でしょ〜!社長、認証をとるためじゃないんですよ!
…そんなところで、ここ数日、経営層との気持ちの乖離が起きております。
実は、経営者がルールを遵守できていないことを、
何度も槍玉にあげてしまったのです・・・反省。
以下、上記URLからの引用です。
企業にとって情報セキュリティ対策を施すことは不可欠ですが,その目的を今一度,きちんと見直す必要があります。さもないと,セキュリティの取り組みを「企業の信頼」へ結びつけることが難しくなります。
社長、お客様の信頼を維持できる企業になりましょう!
情報セキュリティマネジメントでお手伝いしますよ!
東京地裁の書記官が競売情報持ち出し、149人の個人情報がWinny流出
http://internet.watch.impress.co.jp/cda/news/2006/02/24/11019.html
裁判所のセキュリティ対策ってどうなってるんだろう。極めて機微な情報を扱う組織だけに、高いプロ意識と、自律的なセキュリティマネジメントシステムがほしいところですが・・・行政機関に自立的なシステムを求めるのも違うかもなぁ。
セキュリティ資格(ベンダー)マップ
http://www.sw.nec.co.jp/el/co_licence/map2.html
NET&COMにも出店していた「SEA/J」が初心者が体系立てて技術の知識を取得するのによさそう。
「応用コース・マネジメント」は完全にマネジメント系。気になる。
2月末まで、受験者にマーカープレゼント。気になる。
http://www.sea-j.net/curriculum/management.html
運用側としてはセキュリティじゃないけど、ITILも気になるところ。
受けたいな〜。
最近、日々の仕事をこなすこと、だけしかしていない。
これが習慣化すると怖いから、少しむずかしめの試験勉強をして別の視点を入れたい。
でももうすぐPマークの現地審査だよ!
Pマークの審査員関連の講座はないのかな?
