ISMS

ISMSの事務局(運営管理者)として、全社を対象範囲に運営を行ってきました。 ISMSの取得を今から行う方へ「どんなことをやるのだろうか？」「何をすればいいのだろうか？」と、分からないことだらけな状況でお困りな方いましたら、参考までに共有となります。 まずは、目次として全体でやったことを記載します。 規程類の作成や運用のルール決め等は、企業によりボリュームもマチマチだと思いますので、細かい話は割愛します。 メインは、外部審査員に評価してもらう上で、準備や行わなければならないこと/決めておく必要があることを、記載していきます(時系列は、少々バラバラしています) セキュリティポリシーや情報セキュリ…

経緯 きっかけ 資格基準 審査員研修コース 審査員研修コースの合格ポイント 再試験 審査員登録方法 提出書類 支払先・提出先 経緯 きっかけ bearts.hatenablog.com 上記記事でISMS審査員補となるための研修に合格し、登録しようと調べていたところ、ISMS-CLS（ISMSクラウドセキュリティ）という単語を発見。。。こちらを調べたら、最近クラウドサービスが増えてきており、そちらに特化した審査員補があるという。。。また、資格基準にはISMS審査員補になってる必要があるとのこと。 最近、自社でもクラウドサービス導入だけでなく、プロダクト開発も進めたりしているので、知見を増やすた…

経緯 きっかけ PマークとISMSの違い 資格基準 審査員研修コース 審査員研修コースの合格ポイント 再試験 審査員登録方法 提出書類 支払先・提出先 経緯 きっかけ 会社でPマーク事務局として活動をしており、2年に1度の現地審査があります。準備や対応がなかなかボリューミーで、当日は1日MTGルームに缶詰状態となり、質疑応答をやらなくちゃいけない。ときには、審査員から厳しいお言葉をいただきつつ、是正・是正・是正。。。 そもそも審査員とういのは、どうやったらなれるんだろう？と、ふと思ったのがきっかけでした。 Pマークのセミナー参加や審査員の資格などを調べていくうちに、ISMSという認証を知りまし…

認証パートナー（株式会社スリーエーコンサルティング）は、 プライバシーマーク（Pマーク）・ISO9001・14001・27001（ISMS）の認証取得・運用・更新をお手伝いしています。 ninsho-partner.com ISO NEXT｜大手／上場／IPOに特化したISO／Pマーク認証＆運用 cert-next.com スポット・コミットISO｜高品質なISO／Pマーク業務を必要なときに必要なことだけご提供します spot-iso.com 弊社の専門コンサルタントが御社の一員となって事務局業務を行い、ISO・プライバシーマークに関わるお客様の作業工数を限りなく「ゼロ」に近づけます。 具体的…

こんにちは、セキュリティロールの幸田です。最近は蒸し暑い日が続きますね、私は先月まで生活拠点がトルコにあったため日本の気候にはほとほと参っているところです。。 夏は諦めるとして、日本のつらくてかゆい花粉の時期は地中海性気候の中、快適に過ごしておりました。中東への疎開、とりわけ花粉症で悩む皆様にはおすすめのライフハックです。 さて、レヴィメンバーにはこの様に海外から参加しているメンバーが数名在籍しているため、 リモートでも研修をこなせるようにクラウドを大活用して業務に取組んでいます。アクセス範囲を制限し、お客様の情報を厳格に取り扱っておりますが、外から見える指標がなかったことからこの度、ISMS…

ISMS IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。 ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の意味。 そのために何をすべきか、基準が定められている。 ISO/IEC 27001 ISMS（情報セキュリティマネジメントシステム）の要求事項を定めた国際規格。 ISO（国際標準化機構）とIEC (国際電気標準会議) が共同で策定している。 JIS Q 27001は国内規格で、ISO/IEC27001とほぼ同じ。 ISO/IEC 27002は、…

Apinkは2月14日に「HORN」で、1年10ヶ月ぶりのカムバックを果たしました。「HORN」は、Apinkのデビュー10周年を記念したアルバムです。このブログでは「もし、Apinkのメンバーが情報セキュリティの仕事をしていたら、何が適職か？」を個々のメンバーの性格や能力から考えてみました。第四回はApinkの中心、ソン・ナウンです。 View this post on Instagram A post shared by Apink (에이핑크) (@official.apink2011) www.instagram.com ソン・ナウンはApinkの顔です。それはApinkのな…

ごあいさつ こんにちは。サブスクペイのペイメントシステム課CREのHori_kです。 弊社はクレジットカード決済を扱う会社なので、PCI DSSというクレカ業界のセキュリティ基準に準拠しています。なにそれ？という方はググったりうちのボスのブログを読んだりしてください。 tech.robotpayment.co.jp tech.robotpayment.co.jp 3月から5月にかけて、そのPCI DSSの監査対応にチームで当たりました。その時のチーム体制が、自分の過去の経験とは違いわが社のよい文化だと感じたのでブログに書こうと思います。 読者の職場のセキュリティ基準対応はどんな体制ですか？ こ…

この記事は、モニクル Advent Calendar 2023 の1日目の記事です。 モニクル CTO の @gabu がお届けします。 はじめに 今年、モニクル社としては、はじめての Advent Calendar をやることになって「ああ、Advent Calendar をやれるぐらいの会社規模になったんだなー」と感慨深い気持ちになっております。 モニクル社の前身となったOneMile Partners社に入社したのが2019年11月なので、転職から丸4年が経ち5年目に突入しました。 1年前に3年分をふりかえった記事はこちら gabu.hatenablog.com 今回はタイトルのとおり「…

近年では企業規模に関係なく、コア業務への集中や業務効率化、コスト削減を目的にBPOを導入する企業が増加しています。BPOという言葉は知っていても、具体的にどのようなものかを正しく認識している人はあまり多くありません。この記事では、BPOとアウトソーシングの違いや、BPO導入にあたってのメリット・デメリット、導入を判断するポイントについて解説します。 BPOとアウトソーシングの違い 一般的に、アウトソーシングは自社業務の一部を外部に委託することを指します。BPOもアウトソーシングの一形態ですが、アウトソーシングが単純な業務の一部を委託するものであるのに対し、BPOは企業の業務プロセスを外部に一括…

ダイエット遺伝子検査は、肥満に関連する遺伝子の変異や特性を解析し、その結果に基づいて個別に合わせたダイエットやライフスタイルのアドバイスを提供することを目的としています。この検査にはいくつかのメリットがあります。 まず第一に、ダイエット遺伝子検査は個人化されたアプローチを可能にし、一般的なダイエットアドバイスよりも効果的な結果を得る可能性があります。人々は遺伝子によって異なる代謝速度や食欲調節の傾向を持っており、これらの遺伝子のバリエーションを理解することで、個人に適した栄養摂取量や運動プランを提案できます。これにより、個々の生活習慣や体質に合わせた効果的なダイエット戦略を構築することが可能で…

こんにちは、ToMO（@tomo2011_08）です。 私はサラリーマンをしながら、サイドFIREを目指しています。 サイドFIREを目指す上で重要なことの1つとして、「投資」があります。 投資をして、資産を拡大し、経済的自立を達成して、自分のやりたいことを仕事にしたいと思っています。 様々な投資の方法がありますが、その中の1つとして株式投資があり、株式投資を行う上で株式銘柄を分析することは非常に重要なことです。 (function(b,c,f,g,a,d,e){b.MoshimoAffiliateObject=a;b[a]=b[a]||function(){arguments.current…

今回ご紹介するのは、金融機関をはじめとした様々な企業にて個人情報の取り扱いが必要になるお客さま窓口を対象にした新しいサービス「Secure Path」の開発/リリースまでの取り組みです。 Secure Path （セキュアパス） とは、モビルスが独自に開発したセキュア・コミュニケーション機能群（Security Suite）の一つのサービスです。Secure Pathを利用すると、例えばWebやLINEでのチャットサポートにおいて、オペレーターが顧客の個人情報を安全に受け取り、本人確認や個人情報に基づいた個別対応を行うことができます。 なぜ開発に至ったのか？その背景を知ってもらうために、まずは…

こんにちは、ToMO（@tomo2011_08）です。 私はサラリーマンをしながら、サイドFIREを目指しています。 サイドFIREを目指す上で重要なことの1つとして、「投資」があります。 投資をして、資産を拡大し、経済的自立を達成して、自分のやりたいことを仕事にしたいと思っています。 様々な投資の方法がありますが、その中の1つとして株式投資があり、株式投資を行う上で株式銘柄を分析することは非常に重要なことです。 (function(b,c,f,g,a,d,e){b.MoshimoAffiliateObject=a;b[a]=b[a]||function(){arguments.current…

今回は知的財産権と著作権法・PCのセキリティについて学習する。 前回はこちら↓ kouninnkaikeishi.hatenablog.jp 知的財産権 意匠、実用新案、特許権 ※著作権は産業財産に当たらない 著作権法 特許とは異なり双方に認められ、自動的に制作とともに発生するので出願や登録の必要はない 著作権法の保護対象 新規性や創造性は必須ではない アルゴリズム、プログラム言語、プロトコル、思想は保護されない 知的財産権 著作権法 著作権法の保護対象 ウイルスや攻撃の種類 クロスサイトクリプティング スパイウェア ランサムウェア DNGキャッシュポインズニング SQLインジェクション RA…

今回は、セキュリティ対策の用語について見ていきます。 セキュリティ攻撃の用語についてはこちら↓ 掲載予定。 セキュリティ指針 JVN CSIRT PDCA ISMS セキュリティ対策 PKI アクティベーション バッファオーバーフロー パッチファイル ステルス機能 ペネストレーションテスト J-CRAT 公開鍵暗号方式 共通鍵暗号方式 MACアドレスフィルタリング サイバーキルチェーン 振る舞い検知 IP-VPN DMZ ファイアウォール TPM ブロックチェーン 物理的セキュリティ対策 アンチパスバック ゾーニング セキュリティ指針 JVN 日本で流通させているソフトウェアの脆弱性に関連する…

今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。 勉強に使ったのはこちら 章の終わりにあるCheck問題に私なりの答えで解答していきます。 今回は4.6章：物理的・環境的セキュリティのCheck問題です。 【Q1】物理的・環境的セキュリティに関するISMSの管理策を述べよ。 ①重要な情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界を定めること②セキュリティを確保すべき領域は、適切な入退室管理策によって保護すること③オフィス、部屋、施設に対する物理的セキュリティを設計し、適用すること④自然災害、悪意のある攻撃、事故に対する物理的な保護を設計し、適用…

会社ではリーダーがメンバーにやるべき仕事を教えます。ただ、その教えが単に作業レベルに留まっていないかをリーダーは考える必要があると思います。作業レベルの指示だけでは、メンバーが与えられた作業を自分事として受け入れるまでの効果は期待できません。リーダーは「何を」するべきかをメンバーに説明するとともに、「なぜ」その作業が必要なのかをメンバーが理解できるようにすることが必要だと思います。わたしが「なぜ」を理解することが大切だと思うきっかけとなったのは、中学のときに受けた歴史の授業での先生の言葉です。そのときのことを書いてみます。中学時代、社会科は好きでした。でも、歴史の勉強をする意味が分かりませんで…

「AGILE TESTING CONDENSED」読書会ログ 2, 3 章 - You are done! 「AGILE TESTING CONDENSED」読書会ログ 4, 5 章 - You are done! 読書会続き。やはり仕事が無い。 第 6 章：継続的な探索 探索的テスト Eplore It! では、探索的テストとは、「システムについて学ぶためのテストの設計と実行を同時に行い、最後の実験から得た洞察を次に伝える」と定義されているらしい。 人がシステムと対話して実際の振る舞いを観察し、小さな実験を計画 学習内容に基づいて、実験を調整し、システムにすいてさらに学習し続ける ソフトウェ…