- コンサルタント事業
- 技術系が多い。
- アクセンチュア~アンダーセン出身の経営者
- 表面的には懸念はサーバーの保護くらいか。と言うより整理整頓のレベル。
- 構造的にはリスクアセスメントのレベル。脅威の洗い出しが出来ているか。受容レベルの妥当性。資産価値4段階、脅威3段階、脆弱性3段階の構造で、リスク値12は一律受容しているが、資産価値4、脅威3、の資産については、脆弱性1と見てしまった場合、手が抜けてしまう懸念がある。継続的に追加の管理策(環境変化への対応策)を検討させる構造とすべきだ。例えば、リスク値12は個別にトップの確認を得るなど。
- 構築面では規定は規格の丸写し。これってシステム構築が出来ているの?。自分としての構築になっていないからPDCAは回っていかない。ただのワッペン取得狙いかも。というより時間を掛けたくないのが本音か。
- コンパクトに作って実質的な中身のあるシステムに直していくのが今後の方向か。
- しかし、この担当のAさんは、いろいろ話を聞いてもメモを取ろうとしないで、上の空で利いているだけ。入社2年目なら立派な社会人なのに。残念。
- さくら総研のコンサルを得たように言っているが実態は感じられない。
591-106-200
591-110-300
- 取り立てて何が問題と言うものは見当たらない。
- しかし、リスク対応計画の存在が確認できない。希薄。
- いきなりリスクが全て受容レベルに収まるって言うこと自体が怪しげなものを感じる。改善活動は姿を消して全て維持活動で済まされている。基本的なところを理解していないのではないか。
- 継続的改善でなくて継続的維持活動って何よ。
0811132204
- 一番の引っかかりはリスクアセスメントの手法。
- リスク値は資産価値と脅威と脆弱性の和で算定しているが論理的には有り得ない。背景にある単位系に全く無頓着。
- 驚くのは某審査機関が主催するセミナーでは足し算でも掛け算でも自由ですと説明していること。自由と言うことと合理性を放棄することとは全く別だがこのような審査機関の審査は果たして有効な審査と言えるのだろうか。大いに疑問。
- CIA喪失による被害(=コスト)から実際に実現するであろう期待損失(=コスト)を導くだけの単純な計算だから、足し算するならコストで無いければいけない。子供が考えても分かることを大企業の大の大人が猪突猛進。気の毒だ。審査員の方もいろいろあって良いですからと言って引き上げていくようだ。
- 脅威・脆弱性の識別も怪しい。が、もともと容易でない部分。別途解説を参照されたい。
- もう一つの懸念は内部監査。実質的には殆ど出来ていない。年1回は会社としてどこかの部門を一つでもやれば定期的に実施となるとでも考えているんだろうか。流石に、監査不足は分かっているようで自主点検をプログラムしているが、是正処置も何もないから適切なPDCAになっているか分からない始末。
- 監査は特権的な人の専横的業務としていたみたいで全社のへの健全な展開を妨げている。
- 出荷前の組み立て調整エリア、出荷後の不具合きり分け試験エリアに対するゾーニングと整理整頓も弱い。
0812013208
-審査員-
- 下手糞な審査計画だ。これじゃ時間の無駄でしかない。
- 初日、前泊で大阪に入り、午後はオフにして戻す。2日目3日目はしっかり本社を審査する。これで工数は2.5日。宿泊日当が2日分。実働は4日。
- 前泊無しだと、日帰り日当が1日分。実働は3日。中途半端に集中するので返って負担になる。大阪の味を楽しむ時間も無い。
- 審査計画を組んだ人は気が利かないね。
- スキームの問題を指摘しない。これじゃ組織は捻じ曲がったまま固定化されてしまうね。
- リスクアセスメント。機密性は0-1-2の3段階。完全性・可用性は1-2-3の3段階。何故、レベル値を返るのか不明。リスク値の概念を理解していないからこういうことになる。リスクは結局金額換算ですよ。期待損害額を導き出さないロジックは不毛。
- 脅威・脆弱性は括って1-2-3の3段階。脆弱性に手を打つと言う基本が出来なくなる。
- 加えて、I-Aの資産価値は常に同じ設定。値の大きい方を取ると言うが論理的に破綻している。違うものを括ってどうするの?。
- 変なコンサルを入れると基本的なスキームが方向を間違える。
- 「この部署は機密性が高いので審査に入らないで下さい」という場所が3つもある。馬鹿じゃないの。重要な部屋にどういう問題課題があるか、審査で見てもらうのでしょう。それをスキップさせるなんて、目的を自分で否定するようなもの。クレージーだね。
- 怪しげな名簿を何処かで手に入れてきて電話を掛けまくっている。資産台帳にもその名簿は入れていない。
- よく口出しをするコンサルだ。攻め込むと必至になって防戦を始める。挙句、問題・課題の存在を有耶無耶にする。客が混乱するだけだろうが。馬鹿モン。
591-106-200
- 1フロア40人程度。電子錠もがっちり。ビル全体の管理も並み以上だから特に懸念は不要。
- 事務局の一人走りで現場意識と乖離。
- ルールの整備は形だけで中身は何もない。規格をコピーして会社のルールにしている。
- 組織内への定着は殆どこれから。
- だから内部崩壊が一番懸念される。
591-029-303
- ここの課題は何かな。
- 適用範囲が限定的であること。サービスを提供する部門(本社、センター)は入れているがサービスを受ける部門(営業部門の出先)は入れてない。リスクは末端にあるのに。
- 社長は接続先・展開先のリスクを心配しているのに適用範囲に入れていない。
- 形骸化が始まっている懸念が大きい。
- 脅威の程度が識別されていない。脅威に対する脆弱性の程度が識別されていない。
登録:
投稿 (Atom)
人気の投稿365
-
取り立てて何が問題と言うものは見当たらない。 しかし、リスク対応計画の存在が確認できない。希薄。 いきなりリスクが全て受容レベルに収まるって言うこと自体が怪しげなものを感じる。改善活動は姿を消して全て維持活動で済まされている。基本的なところを理解していないのではないか。 継続的改...
-
mytc@tsite.jp この頃のTポイントはいよいよ分かり難い。誰が運営責任者なのか分かり難い。もともとは蔦屋(ツタヤ)の会員サービスでスタートしているが、間もなく運営が独立して、汎用化して、所謂ユニバーサルポイントサービスの筆頭格として多くの利用... -
アボカドピンク染 https://www.buzzfeed.com/jp/emilytulett/10-easy-steps-to-making-organic-dye-from-avocados-jp Avocado Pink アボカド・ピンク アボ... -
メールの管理 To/Ccにアドレス記載のないものはゴミ箱フォルダーへ(1~3か月で自動削除) 長期保存価値のないものは迷惑フォルダーへ(1~3か月で自動削除) / ネットは既にゴミの山。最も深刻なのは無尽蔵に送られてくるメール。リッチテキスト、添付ファイル...
-
-client -system 現場部署には、資産台帳があるだけで、脅威・脆弱性は何も識別されていない。 ここも事務局で全て済ませている。 3年経っても何も改善されていない。 当初はコンサルが入っていたらしい。適当にやって逃げてしまった。 リスク値を出すロジックも不明。 リスク対...
-
-システム-リスクアセスメント 現場でリスクアセスメントをやっていない。非情に基本的なことだが、本来は自分の問題を事務局に任せる運営になっている。 こういうところは弱点の報告、ひやりはっとの類は上がらない。リスクアセスメントそのものをやらないので、資産の変化、脅威脆弱性の変化が、...
-
-Advisory- リスクアセスメント方式の見直し。オーソドックスなやり方に戻す。
-
-システム- カスタマーサポートセンターなど顧客との問い合わせ対応は個人情報が出てくるので、良くやっている口かな。 事業継続については、実質的な訓練が出来ていない。バックアップをとる意味が理解されていない。 24時間体制は凄いけど人に負担が掛かっているのだから、教育にしても業務固...
-
system 静岡県 リスクアセスメントが酷い。資産価値評価はCIAの観点から実施されているが、リスク値評価は資産価値との関連が消えてしまっている。資産価値と別に影響の大きさを出しなおしている。では最初の資産価値は何だったのか疑問。リスク値に持って来る時はCIAの観点が消えてしま...
-
コンサルタントの問題 審査中にいきなり横槍を入れてくるコンサルタントがいた。審査妨害だ。「こんな審査は見たこと無い」と審査員に罵声を浴びせる。「お客がこうだといっているんだから文句を付けるな」と高圧的に審査員に大声で怒鳴りだす。 コンサルをしていて客に言ったことの不適切性を露呈さ...
人気の投稿
-
-審査- 人の宿の手配をしてポイントを稼ぐという恥ずかしい御仁。悪い意味ではない違った価値観が支配している。ビジネスライク。それも、パーソナルビジネスライク。 -システム- エクセルを利用してリスクアセスを機械的にやろうとしているが、弊害(巨大なダミーデータの入ったリストになり実...
-
audit ひどい審査計画だ。審査員を西や東に振り回してどうするつもりだ。右往左往というのだ。分けの分からない理屈を並べて、人数が多いところでないと全体の把握が出来ないと決めて掛かっている。時間配分が上手く取れないと決めて掛かっている。本末転倒だ。この男は馬鹿だね。 京都まで行っ...
-
mytc@tsite.jp この頃のTポイントはいよいよ分かり難い。誰が運営責任者なのか分かり難い。もともとは蔦屋(ツタヤ)の会員サービスでスタートしているが、間もなく運営が独立して、汎用化して、所謂ユニバーサルポイントサービスの筆頭格として多くの利用...
-
審査開始日-年月日(6桁) 審査日数(実出動日数。半日も1日。前泊・後泊は含めない)(1桁) チームメンバー数(1桁) 初回登録年(2桁)
-
audit 酷い計画。リーダーは地方遊説でなく本社拠点をやれよ。秘匿性の高いサイトで行き先が分からなければ審査できないのだからアクセスガイドくらい出して欲しいね。 酷い計画だね。静岡へ行って、わざわざ朝一番の移動を強要しておいて、次は千葉に追いやる。時間の無駄だろう。静岡県内か神...
-
-審査- 計画は変更が多いし無理(移動時間)に無理があるし。別質のヒアリング中心で部署現場を見ない設定が多い。これじゃ良い審査は出来ない。 腰が低い。なかなか出来ないこと。 所見は凡庸。 -システム- 内容は不明 -
-
予約の日程と言ってもピンと来ないでしょう。 出張の時の予約のことです。 宿(ホテル)と足(交通機関)。先ず、宿を取ります。宿のキャンセルは自由度が高いので早くとって問題ない。早期予約料金の設定もあるから安く泊まることができる。それに、受験とかイベントとかが入ると急に宿が取れなくな...
-
アボカドピンク染 https://www.buzzfeed.com/jp/emilytulett/10-easy-steps-to-making-organic-dye-from-avocados-jp Avocado Pink アボカド・ピンク アボ...
-
090326 リスクアセスメントそのものが殆ど出来ていない。事務局だけでやっている。これではISMSの定着は無理。 ルール(ISMSマニュアル)は一定の様式で作成されているが、事務局だけが認識していて事務局だけが実施している。組織全体では形骸化の危険がある。 資産台帳に資産価値も...
-
取り立てて何が問題と言うものは見当たらない。 しかし、リスク対応計画の存在が確認できない。希薄。 いきなりリスクが全て受容レベルに収まるって言うこと自体が怪しげなものを感じる。改善活動は姿を消して全て維持活動で済まされている。基本的なところを理解していないのではないか。 継続的改...