591-020-203

-client
-system

• 
  
• 現場部署には、資産台帳があるだけで、脅威･脆弱性は何も識別されていない。
• ここも事務局で全て済ませている。
• ３年経っても何も改善されていない。
• 当初はコンサルが入っていたらしい。適当にやって逃げてしまった。
• リスク値を出すロジックも不明。
• リスク対応計画が存在しない。そんな馬鹿な。システム部門を中心に少なくとも運用改善とかやっているだろう。システム改善とかあるだろう。其れは各部署にも降りてきているのではないか。
• ＩＳＭＳが特殊な世界の、封印されるべき存在にされてしまったようだ。
  

ＩＳＭＳの出来具合

ＩＳＭＳの出来具合をどのように見るのが適当なのか結構難しい。規格適合性の観点で見る出来具合は一部の側面でしかない。

ＩＳＭＳ的な構造を持って活動をしていれば規格には適合していることになる。空回りをしていても、ＰＤＣＡ的な構造を実現していればＯＫというのは少し変ですが審査は通ってしまいます。

書式より中身。当然ですがなかなか出来ていない。皆が馬鹿にしてきたＴＱＣに真剣になったのが英国。第三者認証制度なんてデミング賞のシステム化、ビジネスモデル化に過ぎない。

癒着の構図

• 促成栽培よろしく促成認証取得をコンサルは企業にアプローチ。
• 企業はコンサルの実績を見て提案に乗ってしまう。
• コンサルのテンプレートは促成栽培用だから文書の形は揃っているが、実運用に耐えるものではない。
• コンサルは一方で、顧客の紹介を審査機関に対して行う。営業だね。
• 審査機関は、営業は弱いからコンサルに頼る。コンサルに対して依存関係を持ってしまう。結果、コンサルの顔を立てようと図る。
• それがコンサルの付け目･ねらい目。促成栽培テンプレートでの認証取得を実現する。
• 審査機関の言い訳は、ＰＤＣＡを回して徐々に適正な形にすればよいと言うもの。
• 企業（客）の言い分は、取り合えず認証を貰うことが先決。中身は徐々にやればよい。
• コンサルはさっさと一件落着させて貰うものを貰えばよい。適正化は徐々に少しずつ儲けさせてもらえばよい。実際に適正化できるかどうかは企業（客）次第で責任はない。

-

• 可愛そうなのは企業（客）側。１００のお金を毎年入れて１０の効果しか得られない。テンプレートが悪いからやり直すしかないが、悪質コンサルを抱えている限りは、やり直しも出来ない。３年目で気付かなければ企業の経営者もそれなりと言う事だね。
  

コンサルタント

コンサルタントの問題

• 審査中にいきなり横槍を入れてくるコンサルタントがいた。審査妨害だ。「こんな審査は見たこと無い」と審査員に罵声を浴びせる。「お客がこうだといっているんだから文句を付けるな」と高圧的に審査員に大声で怒鳴りだす。
• コンサルをしていて客に言ったことの不適切性を露呈されるのが怖くて必至で頑張ったのだろうが全く審査を理解していない行為だ。コンサルとして失格を自分で宣言したようなもの。
• なりふり構わず認証取得をやろうとしている。
  
• コンサルは企業（客）と審査機関の間に入ることで、利益を得ようとしているが、それが行き過ぎた時のコンサルと審査機関の癒着の構図もうっすらと見えてくる。
• ＪＩＰＤＥＣが監視すべきことであるが、ＪＩＰＤＥＣにそれを期待することは出来ない。
  

審査計画：経営者インタビュー

審査計画の中で経営者インタビューは最重要なセッションです。

どういうISMSを構築しようとしているか、背景、狙い、着手、覚悟、等々を踏まえての方針と方針管理を確認する場ですから、このインタビュー結果を踏まえて、審査は実施される必要があります。

規格適合性の審査ですが、規格は経営者方針に従えともある訳ですから、経営者の意思を正しく理解していないと、審査自体の適切性に問題が出ます。

審査計画では、従って、第１段階のどこかと言うより、基本方針の確認のときに経営者インタビューを行うのがもっとも自然なやり方です。

ただ、多くの場合は、残念ながら第１段階の時点では基本方針自体がまとまっていないので、やむなく第２段階の最初に行うのです。

審査員

審査員を観るのにいろいろな要素・角度から評価しようとする。返って本質を見失う。

組織のISMSが持つ本質問題を的確に見抜いて客観的に明らかにする能力。これが大事。事前にどんな準備をしたか、マナーがどうであったか、コミュニケーションがどうかなどは二次的、三次的な低次元の問題。それらを横並びにして評価すると、礼儀正しいだけの能無し審査員が誕生する。

591-016-300

-client

• 何と言うのだろうね。人貸し業。分かりにくい関連会社を並べて。一括で認証取得。

-consultant

• 質の悪いコンサルだ。審査機関を食い物にする。
  

-system

• リスクアセスメントのロジックは出来ているが、中身がひどい。フリーソフトの機密性が最高機密レベルとか。資産価値の識別が出鱈目。
• リスク評価は各部署でやらないで本部一括。脅威も脆弱性も本部一括評価。かなり乱暴。出鱈目。リスク値を本部で出して対応策も本部で決めて、現場には「セキュリティの心得」みたいな冊子が配られてお仕舞い。
• だから現場はリスク値も知らないし、リスク対応策の存在も知らない。脅威、脆弱性の変化点も把握できないし、報告する先も無い。全部本部がやるんだから。
  

-auditor

• ひどい審査計画。
  ①サイト審査の手順が稚拙で長距離を2往復する。新幹線で3時間以上の距離。手順を少し変えれば行ったり来たりは発生しない。顧客との折衝能力も無いのだろう。
  ②地方なのに朝の開始時間が9時半。終了時間もずれて移動に無理が出る。報告も遅れることになる。9時開始にすれば無理なく一日が使える。
  ③日によってはお昼の時間も取ってない。どこかで手を抜くことになる。下手なスケジューリングは審査の質を落とす。
  ④審査計画の文書もペラもの1枚に3人3日を入れ込んで済ませている。
• ひどい審査計画（続き）
  ⑤本人はなんと初日東京で部門審査。自分だけミニマム移動で済ませている。恐れ入る。
  ⑥トップインタビューは最終日。事務局審査も最終日。トップ、事務局の状況確認を最後にやってどうするんだろう。
  ⑦メンバーの最終日も多くの部署、しかも広島本部のメイン部署の多くを最終日に回している。纏める気があるのか。
• 驚いたね。苦手だね。２日目終了後に同じホテルに入って確認の電話は貰ったが、普通は２日間の状況を確認して落としどころを探るものだけど、明朝の集合時間を確認するだけで、ご自身はお出かけ（接待？）だとか。二流人の振る舞いは徹底している。いよいよ穴が見えてきた。
• そもそも第１段階審査の結果が何もフィードバックされないのはどういうことだ。こいつ、完全な素人か、仕事をなめているか、パートナーをなめているか。兎にも角にも、どうしようもない奴な可能性が高いね。
• 本質問題：リスクアセスメントからリスク対応計画への下りの問題に指摘が入っていない。詰まらない内容の指摘ばかり。リーダーとしては全く不十分。メンバーの指摘も意味不明なものが混じる。其れに対する事前検討も不十分なままレポートに載せる。
• コンサルと癒着したようなリーダー。審査中に一緒に食事している。酷いね。
  

591-007-203

-

• マルチメディアコンテンツ制作配信

-

• 内部監査の有効性が極めて低い。ＩＳＭＳ推進担当者の領域だけで、実施して指摘を出している。一般部署には指摘ゼロ。内部監査のエビデンスは集計したサマリー表のみ。
• インシデント、弱点の報告もない。
• ＩＳＭＳの有効性はかなり低い。形式を最低限のレベルで踏んでいるだけ。

-

• 人格が疑われる。
• 自分が決めた時間に現れない。１５分以上遅刻。連絡もしてこない。こちらから携帯に電話しても出ない。遅れて現れて謝罪もない。翌日もまた時間を指定しておいて遅刻。１０分遅刻。携帯に電話をくれたらしいが、既に遅刻の時間。審査時間も、クロージングも全て後ろにずれずれ。
• そもそも客先のビルの１階で待ち合わせるのに２０分も前を指定するものか。何かは無しがあるのだろうと思って早めに行ったら飛んでもない食わせ物だった。
  
• 審査計画は最新版を送って寄越さない。って言うか自分自身が古い計画を持ってきている始末。
• 未だに古いレポート様式を利用。
• トップインタビューでも関係のない話を延々。しかも、業界の知識が無さ過ぎるから話も噛み合っていないまま。勿論、たっぷり時間オーバー。
• 会社の悪評を一人で背負っているくらいに酷い。
  

590-911-103

-

• 検針業務委託

-

• もっともリスクが高い領域を適用範囲に入れていない。本社の統括機構だけを適用範囲にしている。大勢のアルバイト、頻繁に入れ替えのあるアルバイトを抱え、検針結果収集される個人情報が溢れ返っている各地の営業部門は除外している。
• リスクアセスメントの有効性が低い。資産価値の識別が２段階しかなく、社外秘、機密などの実運用のレベル分けを反映していない。
  

-

• 本質を外したまま何年も同じ審査を続けているので、正しい態度とは言い難い。規格に反している可能性もある。緩み過ぎ。
  

0809014305

-

• 技術者派遣事業
• マルチサイト：全国カバー

-

• 派遣事業に共通の傾向として適用範囲設定に無理がある。人・組織、情報資産、エリアのどれを取っても管理責任は不明確。
• 脅威・脆弱性の見直しを各部署でどのように実施しているか確認できない。部署ごとのプロセスや環境の変化を認識してリスクアセスに取り込む仕組みが無い。
• 事務局主導だと現場の自立性が育たないのに、現場の自立を促す取り組みが弱い。
• 現時点では、世の中の水準よりは高いレベルにある。
  

-

• 特定の人に移動時間のしわ寄せが来る下手なスケジューリング。
• チーム待ち合わせ場所を間違えて連絡するし、間違いに気付いてもメンバーを呼びつける無作法を平気でやる。客先までの道もよく間違える。
• クロージングは遅れて開始、遅れて終了。
  

590-929-403

-

• コンピュータ業界

-

• リスクアセスメントはリスク値の自動集計に拘ったロジックとしているため、現場の人の感覚と整合しない。特に、脅威・脆弱性を標準要素の有無・多少だけで算出しているので、現場固有の状況が反映できない。簡易ロジックは全体を俯瞰するには良いが、個々に手を打っていくためには脅威脆弱性を特定させることが必要。
• 内部監査による指摘が殆ど出ていない。有効性が低い。
• インシデント、弱点の収集も積極的にやっていない。
• 部署審査では部門長の応対が極めて少なく、ＩＳＭＳ（事務局）のポジション低下が窺える。
• 業務委託で入り込んでいる外部の人を適用範囲に入れていない。かと言ってインタフェースの管理策が出来ている訳でもない。穴が開いている可能性が高い。
• 時間にルーズな人が非常に多い。定刻に来る人は少なくバラバラ人が集まる。
  

+

• パソコンのセキュリティポリシーでＵＳＢを利用できないようにしている。
  

-

• やや時間にルーズ。
• 待ち合わせ場所などの事前確認などコミュニケーション取りにもやらない。
• 審査計画が初日の前々日まで出てこないのも論外。
  

591-010-102

- Client

• マルチメディア広告の制作。
• ３サイト。
  
• 切り替え審査。

- System

• 資産台帳が棚卸し表になっていない。只の分類表に近くて、資産との対応が付かない。
• 脅威・脆弱性がＣＩＡのどの特性に対するものか識別されていない。脅威・脆弱性のレベルの根拠が不明確。
• 内部監査、インシデント、弱点などの報告が殆ど出ていない。リスクも全て受容レベルに収まっており、ＰＤＣＡを回すエンジンが止まっている。
• 経営者は完全にＩＳ管理責任者に依存する発言があり、経営者の責任を果たしているかどうか疑問。
• 出先サイトでは被審査部門の担当者が遅刻する始末で、ＩＳＭＳとしては既にデッド状態。
  

- Auditor

• その審査機関・審査員は、審査の後で大量の情報提供を要求してきた。審査報告は数枚のペラだったが、判定委員会に掛けた結果の報告書はバインダー1冊に相当する分厚いものだった。
• その審査機関・審査員は、リスクアセスの基本を間違えていて論外。