2012年07月07日
審査員の情報セキュリティ
審査員自身も情報セキュリティには気を使います。
審査員という仕事は情報セキュリティの面では非常に危険な仕事なのです。
審査員にPCは欠かせません。
このPCの中には審査企業の情報が入っているのです。
万が一PCを盗まれたり、忘れたりすると、企業の情報が流出する恐れだってあります。
情報セキュリティに無関心な審査員も世の中にはいると思いますが、流出事件を起こしたことを想像するととても怖いです。
損害賠償だけでは済まない、信用問題です。
僕の行っているセキュリティ対策は次のようなものです。
1.ウィルスセキュリティソフトの導入(ウィルス定義は常に最新にしています)
2.過去の審査データを削除する(文書、メール等)
3.審査用PCの専用化(審査以外には使わない。ネットはホテルのPC、携帯を使います。)
4.ケンジントンワイヤーでの物理的ロックをする(最近は移動中にPCを開きませんので使わなくなりました。)
5.データのバックアップは暗号化USBを使う。(USBはネックストラップに付けて紛失防止しています)
6.移動中にPCや資料を開かない。会話も審査の話題を避ける。
7.有限会社 ISOCS(アイソクス)のマニュアルに上記+コンサル上のセキュリティ対策を定めています。
毎年見直しもやっています。
情報は流出したら止められません。
注意しましょう。
審査員という仕事は情報セキュリティの面では非常に危険な仕事なのです。
審査員にPCは欠かせません。
このPCの中には審査企業の情報が入っているのです。
万が一PCを盗まれたり、忘れたりすると、企業の情報が流出する恐れだってあります。
情報セキュリティに無関心な審査員も世の中にはいると思いますが、流出事件を起こしたことを想像するととても怖いです。
損害賠償だけでは済まない、信用問題です。
僕の行っているセキュリティ対策は次のようなものです。
1.ウィルスセキュリティソフトの導入(ウィルス定義は常に最新にしています)
2.過去の審査データを削除する(文書、メール等)
3.審査用PCの専用化(審査以外には使わない。ネットはホテルのPC、携帯を使います。)
4.ケンジントンワイヤーでの物理的ロックをする(最近は移動中にPCを開きませんので使わなくなりました。)
5.データのバックアップは暗号化USBを使う。(USBはネックストラップに付けて紛失防止しています)
6.移動中にPCや資料を開かない。会話も審査の話題を避ける。
7.有限会社 ISOCS(アイソクス)のマニュアルに上記+コンサル上のセキュリティ対策を定めています。
毎年見直しもやっています。
情報は流出したら止められません。
注意しましょう。
2009年01月14日
ネパールのお弁当箱
会社を経営するための仕組みのことをマネジメントシステムと言います。
この仕組みにはいろいろな要素があります。
品質を良くする仕組み、環境を良くする仕組み、労働安全を向上させる仕組みなどです。
個人情報や知的財産のような「情報」の管理をきちんとする仕組みも重要です。
ISO27001に取り組む会社は、「情報」を粗末に扱った場合に想定される、様々なリスクを分析し、そのリスクを回避する仕組みを社内に作り上げなければいけません。
その仕組みは文書にして内容を明確にし、そこで決めたことは実行して下さい。
その仕組みは普遍的なものではなく、状況が変わった場合には、仕組みを変更して、仕組みが常に最適に動いている状態にして下さい。
リスクには不注意で起こるものだけでなく、意図的な情報漏洩のような犯罪も含まれます。
ハッカーによる外部攻撃だけでなく、同じ職場で働く人による漏洩も想定しなくてはいけません。
味気ない、殺伐とした話のようですが、見方を変えれば「優しさ」の話でもあります。
僕はネパールを旅したことがあるのですが、ネパールのお弁当箱には鍵の掛かるものがあります。世界一貧しい国ですからお弁当を盗まれることもあるようです。
鍵を掛けることで、貧しい人達が犯罪に手を染めるのを未然に防ぐ、そういう優しさだってあるのですね。
ネパールの刑法は知りませんが、国によっては窃盗罪を犯すと右手首を切り落とすそうです。宗教的に左手を不浄と考えるその国では、窃盗をはたらいた者は一生左手で食事をせねばなりません。
そんな悲劇を生まないためにお弁当に鍵を掛ける優しさが必要なのです。
この仕組みにはいろいろな要素があります。
品質を良くする仕組み、環境を良くする仕組み、労働安全を向上させる仕組みなどです。
個人情報や知的財産のような「情報」の管理をきちんとする仕組みも重要です。
ISO27001に取り組む会社は、「情報」を粗末に扱った場合に想定される、様々なリスクを分析し、そのリスクを回避する仕組みを社内に作り上げなければいけません。
その仕組みは文書にして内容を明確にし、そこで決めたことは実行して下さい。
その仕組みは普遍的なものではなく、状況が変わった場合には、仕組みを変更して、仕組みが常に最適に動いている状態にして下さい。
リスクには不注意で起こるものだけでなく、意図的な情報漏洩のような犯罪も含まれます。
ハッカーによる外部攻撃だけでなく、同じ職場で働く人による漏洩も想定しなくてはいけません。
味気ない、殺伐とした話のようですが、見方を変えれば「優しさ」の話でもあります。
僕はネパールを旅したことがあるのですが、ネパールのお弁当箱には鍵の掛かるものがあります。世界一貧しい国ですからお弁当を盗まれることもあるようです。
鍵を掛けることで、貧しい人達が犯罪に手を染めるのを未然に防ぐ、そういう優しさだってあるのですね。
ネパールの刑法は知りませんが、国によっては窃盗罪を犯すと右手首を切り落とすそうです。宗教的に左手を不浄と考えるその国では、窃盗をはたらいた者は一生左手で食事をせねばなりません。
そんな悲劇を生まないためにお弁当に鍵を掛ける優しさが必要なのです。
2009年01月06日
明けましておめでとうございます
明けましておめでとうございます。
昨年11月にISO9001の2008年版が出ました。
大きな変更は無いのですが、いくつかの変更点(追加説明)があります。
その内の一つが顧客所有物に関する規定です。
今回の改訂で7.5.4項の顧客所有物に注記が加えられ、知的財産および個人情報が顧客の所有物であることが明示されました。
もちろん、明示されるまでもなく、顧客の持つ知的財産や顧客の個人情報は顧客のものです。しかし、明示されていなかったため、そう判断しない企業が多々あったので明示したというものです。
顧客の所有物は、それが組織(会社)の管理下にある間は、それなりの注意を払わなければなりません。紛失したり、漏洩したり、損傷しないように配慮が必要です。
万一何かがあれば当然、顧客に報告する必要がありますね。
昨年11月にISO9001の2008年版が出ました。
大きな変更は無いのですが、いくつかの変更点(追加説明)があります。
その内の一つが顧客所有物に関する規定です。
今回の改訂で7.5.4項の顧客所有物に注記が加えられ、知的財産および個人情報が顧客の所有物であることが明示されました。
もちろん、明示されるまでもなく、顧客の持つ知的財産や顧客の個人情報は顧客のものです。しかし、明示されていなかったため、そう判断しない企業が多々あったので明示したというものです。
顧客の所有物は、それが組織(会社)の管理下にある間は、それなりの注意を払わなければなりません。紛失したり、漏洩したり、損傷しないように配慮が必要です。
万一何かがあれば当然、顧客に報告する必要がありますね。
2008年11月25日
個人情報と殺人事件
今、TVの話題となっている、元厚生省事務次官殺傷事件ですが、犯人は職員録を見て事務次官の情報を入手しています。
これでますます名簿の管理は厳しくなりそうですね。
情報一つが命に係わる時代。
物騒な世の中ですが、それが現実でもあります。
それを防ぐためにセキュリティに配慮が必要な時代です。
これでますます名簿の管理は厳しくなりそうですね。
情報一つが命に係わる時代。
物騒な世の中ですが、それが現実でもあります。
それを防ぐためにセキュリティに配慮が必要な時代です。
