090326
リスクアセスメントそのものが殆ど出来ていない。事務局だけでやっている。これではISMSの定着は無理。
ルール(ISMSマニュアル)は一定の様式で作成されているが、事務局だけが認識していて事務局だけが実施している。組織全体では形骸化の危険がある。
資産台帳に資産価値も記載されていない。リスク値は現場は誰も認識していない。どうやって資産を守る気かわからない。
資産価値脅威脆弱性の識別区分が妥当性を欠く内容。可用性は、秒のレベルが3で、1日のレベルが1。統計的に見て妥当性を評価する活動もやっていない。
コールセンターはゾーニングとしては、一般公道レベルと最高セキュリティがドア1枚。サーバー室も施錠していない。
ゾーニングは基本的に段階的にレベルアップさせなければいけない。公道(レベル0)にいきなり金庫(レベル3)を置いてはいけない。こういう常識でも、ドアとか間仕切りが入ると忘れてしまうようだ。
コールセンターで私物の持ち込み管理をしていないのも珍しい。受け渡しも無い。バックアップサイトの位置づけもあるらしいが尚更いい加減と言う事になる。
結論:
レベルは低い。腹立たしいくらい低い。一生懸命にやっている姿・情熱も感じない。
丸ごとアウトソースして適用範囲に入れている場合。全てのルールは受け入れる必要がある。PDCAは有効でなければいけない。この組織の場合は、自主的な管理を要求しないまま適用範囲に入れているので穴が空いている状況。ISMS活動の記録が一つもないのもありえない。役割責任の文書ぐらい用意しなさい。
かなり最低レベル。
090226
-オーディット-計画
- ページ割付をミスしたものあ送られてきたから、注意をしたのに放置。見るソフトとの相性で変な見え方になるケースも考えられない訳ではないから、とりあえず確認することを示唆したのに。10日もたって漸く気付いて修正版をお客に送るのはいいが、こちらに何故添付して教えてくれなかったかクレームしてきた。馬鹿につける薬無しだね。発信控えを見れば済むことだろうに。
- この人の審査メモはページ数が膨大。確認したいことなど一切をプレプリントして持参だからそうなる。プロセスベースの審査は規格の基本要求だけど、これでは単なる消化器官ですね。
090210
-システム-リスクアセスメント
- 現場でリスクアセスメントをやっていない。非情に基本的なことだが、本来は自分の問題を事務局に任せる運営になっている。
- こういうところは弱点の報告、ひやりはっとの類は上がらない。リスクアセスメントそのものをやらないので、資産の変化、脅威脆弱性の変化が、自分たちの態度にどのように反映すべきかが分からない。
- 詳細なリスク分析は資産価値にレベル3が合った場合。CIAのどれかがレベル3なら実施。資産価値は1~3の3段階。しかしこの場合は、該当するし算数の割合も見ないと適切かどうか分からない。下手をすると形骸化する。ミニマム20%は実施とか別の切り口も必要。
- リスクアセスの手法はオーソドックスだが、受容レベルが20近い値で極めて高い設定になっているのも懸念。
- 場所、時間、アテンディーのバランスが悪い。本社の管理機能などが各サイトに分散しているので、仕組み確認と現場確認の割り振りが明確になる工夫が必要。複数の審査員で見るときは役割分担も連携も必要。全体のマネージは弱い。
- バイオ認証におけるバイオデータの取扱の確認が出来ていない。バイオ情報の深刻さに気付いていない。
090326
-システム-携帯電話の扱い
- セキュリティゾーンへ入るときに、写真撮影を禁じる観点から、カメラは勿論デジカメ付き携帯まで、預けることを強要するサイトが増えている。
- ずっと同行しているから隠しカメラでもなければ写真は撮れないのにそのように杓子定規をやる。悪意の人は目立たないところに隠す訳で鼻から預けてはくれない。画しカメラを探ると成ると相当厄介だ。
- 携帯を仕舞って出さないでくれと言うだけで不十分なのでしょうか。携帯そのものは情報の塊で、それを預かることの方が余程問題だ。ロッカーに仕舞うようにしているが、ロッカーは相当に厳重な管理を強いられる。勝手にロッカーを開けないことは保証するんですよね。
090205
-システム-
- カスタマーサポートセンターなど顧客との問い合わせ対応は個人情報が出てくるので、良くやっている口かな。
- 事業継続については、実質的な訓練が出来ていない。バックアップをとる意味が理解されていない。
- 24時間体制は凄いけど人に負担が掛かっているのだから、教育にしても業務固有のリスクへの配慮などの工夫がいる。
- リスクアセスメントはやや形骸化。脅威脆弱性を部署で拾えているか。結果の妥当性をみるために、統計情報での検証活動が無い。
- データセンターは、委託先に変わって説明してはいけない。委託先の説明を行きだす形のセッティングが必要。
- 共用エリアに名札をつけて設置しているのは頭かくして尻隠さずに近い。実際に他社のラックを見ても名前は全部伏せてある。
- 審査計画は破綻していない。殆ど1箇所だから。部署数も少ない。
- ホテルでクレームしてきたのは始めただ。決の穴の小さい男かも。違うところに泊まれば料金は違って当然。
- 鼻から、チームメンバーを信用しない態度では大物にはなれない。図体はでかいのに。
- コンサルのネガティブ情報を披露してきたのは有り難いが、スタンスが違うだろう。この男もあの馬鹿コンサルの力量を見抜けていないということだな。
- 3年間の振り返りで、日付の指摘が多いといっていたが、この男がそればっか見ていたということ。是正のフォローと効果確認も同様だが、もし繰り返しを問題にするなら、問題の本質に迫るコメントが必要。
- 途中段階の星取表にクレームしてきたが、網羅性の観点で、初日に目くじら立てないでよ。
- プレチェックリストが膨大すぎる。前の審査機関のチェックリストより酷いかもしれない。本当の審査にならないだろう。だから枝葉末節の指摘ばかりになるんだ。今回こちらで見つけた単純な指摘はとっくの昔に終わっている筈のもの。馬力と熱意はあるが、かなり空回り。
- 適用範囲を素直に広げなさい。
- 特に情報システムなどの基幹インフラ部門が入らなければPDCAが回り難いので形骸化しやすい。
- 現場でリスクアセスをやってもらう。
- マンネリ化の懸念払拭のために審査員を変更する。
- もっとゆったりと本質に迫ること。
- チェックリストはもっとラフに。星取表もこの人だけやたら細かい。
- 内部監査の指摘件数のカウント~トレンドに本質的な意味は無いことを知るべき。((こういう発想をやるから問題ないのがいいことになってやがて自滅していくんだ。その意味ではこの審査機関の審査全体に共通するスキームだから始末が悪い))
- 疑心暗鬼で仕事をしてはいけない。
- 更新審査でも、スキームまで手を付けるお客は皆無に等しい。
- 改善件数を競うスキームに組み替えないと駄目だ。内部監査で指摘をすると是正と効果確認と手番が増えて、嫌がる形になる。指摘が無いのが現場の本音として助かる形。これじゃ駄目だ。改善競争に変えるべきで、誰がどれだけ有効な(リスク値を下げる)を改善をしたか。こうなるとリスク値を一度上げてやらないといけない。環境変化を取り込むとリスク値は上がるから、リスクアセスも回り始める。
- 空回りするだけのシステムを大量生産している。
- 迎合的審査態度。
090127
-system-
- 驚くね。こういうところが何故ISMSなんかやるんだろう。
- 問題、課題を抽出して改善につなげること自体を否定している。三遊間は絶対拾わない。継続的改善も自分のポジションで逃げ隠れ出来なくなってから取り組む。どんな教育をしているんだろう。働いているのは保身の力学だけ。超サラリーマン世界。
- ひそかにこっそりやる改善は改善のためでなく保身のため。自分さえ守ることが出来れば良い。少なくとも保身優先。
- 監査とか審査とかで指摘が出たら、担当者の評価が下がる。指摘は改善スタートポイント。それを否定するのだから、救いようが無い。改善の芽を摘む活動をやっているのだから。マイナス型価値評価。悲劇だ。
- 改善件数を競うような形にすれば、積極的に問題を拾うから、改善のスピードは早い。情報の共有も進む。
-Adv-
- ここの助言はISMS以前だね。プラス型の評価システムの導入。停滞・よどみを嫌うことをトップから発言してもらう。管理を静的に捕らえないで動的に捕らえる癖をつけてもらう。
- 課題抽出競争。世の中の変化、事業の変化、業務の変化を捕らえる力。
- 課題解決競争。
- 課題がなくなったら?。
そういう事業は撤退すれば良い。事業ニーズが無いか事業遂行力が無いかのどちらかだからね。
-
- 資産価値の評価で、CIAでレベルを分けるのをやめること。何故、Cは4段階で、IとAは3段階なのか。情報が出てこなくなったり、中身が摩り替わることだって、大変なことだ。個人情報漏洩に絡めての機密性への過剰反応はやめても良い頃だ。金額換算すれば同じだね。
090113
-
- リスクアセスメントも内部監査も実質的に出来ていない。
- 工数を掛けていない。
- 事務局だけのリスク対応計画。現場部署での取り組みは極めて希薄。
- 分けの分からないリスクアセスメントプロセス。ツールを使って実施しているがツールの実績も無い。提供されるリスク値とインプットとの因果関係が不明確。
- 最初のコンサルの言うとおりに進めると大変な工数になるから簡略化できるツールを導入したようだが、重要な判断ミスをしている可能性がある。
- 開始会議の説明はよどみなく良く訓練されている。
- 所見は本質的なものは少ない。殆ど無い。末節が多い。
20090113
-system-
-audit-
-advisory-
-audit-
- 下手な審査計画だ。オープニング会議に集めて、その後、直ぐに別のサイトに移動。オープニングだけに出るなんて意味が無いだろう。本来はトップインタビューを聞いて、トップの審査への期待を確認して各サイトに出るものだ。
- 全体のプランの出来も悪いから、リーダーとしては不足に見える。
- 審査員に対する基本的な教育が出来ていないようだ。こうすると、審査計画を見るだけでも、ある程度、審査員の能力が測れるようだ。
-advisory-
登録:
投稿 (Atom)
人気の投稿365
-
取り立てて何が問題と言うものは見当たらない。 しかし、リスク対応計画の存在が確認できない。希薄。 いきなりリスクが全て受容レベルに収まるって言うこと自体が怪しげなものを感じる。改善活動は姿を消して全て維持活動で済まされている。基本的なところを理解していないのではないか。 継続的改...
-
mytc@tsite.jp この頃のTポイントはいよいよ分かり難い。誰が運営責任者なのか分かり難い。もともとは蔦屋(ツタヤ)の会員サービスでスタートしているが、間もなく運営が独立して、汎用化して、所謂ユニバーサルポイントサービスの筆頭格として多くの利用... -
アボカドピンク染 https://www.buzzfeed.com/jp/emilytulett/10-easy-steps-to-making-organic-dye-from-avocados-jp Avocado Pink アボカド・ピンク アボ... -
メールの管理 To/Ccにアドレス記載のないものはゴミ箱フォルダーへ(1~3か月で自動削除) 長期保存価値のないものは迷惑フォルダーへ(1~3か月で自動削除) / ネットは既にゴミの山。最も深刻なのは無尽蔵に送られてくるメール。リッチテキスト、添付ファイル...
-
-client -system 現場部署には、資産台帳があるだけで、脅威・脆弱性は何も識別されていない。 ここも事務局で全て済ませている。 3年経っても何も改善されていない。 当初はコンサルが入っていたらしい。適当にやって逃げてしまった。 リスク値を出すロジックも不明。 リスク対...
-
-システム-リスクアセスメント 現場でリスクアセスメントをやっていない。非情に基本的なことだが、本来は自分の問題を事務局に任せる運営になっている。 こういうところは弱点の報告、ひやりはっとの類は上がらない。リスクアセスメントそのものをやらないので、資産の変化、脅威脆弱性の変化が、...
-
-Advisory- リスクアセスメント方式の見直し。オーソドックスなやり方に戻す。
-
-システム- カスタマーサポートセンターなど顧客との問い合わせ対応は個人情報が出てくるので、良くやっている口かな。 事業継続については、実質的な訓練が出来ていない。バックアップをとる意味が理解されていない。 24時間体制は凄いけど人に負担が掛かっているのだから、教育にしても業務固...
-
system 静岡県 リスクアセスメントが酷い。資産価値評価はCIAの観点から実施されているが、リスク値評価は資産価値との関連が消えてしまっている。資産価値と別に影響の大きさを出しなおしている。では最初の資産価値は何だったのか疑問。リスク値に持って来る時はCIAの観点が消えてしま...
-
コンサルタントの問題 審査中にいきなり横槍を入れてくるコンサルタントがいた。審査妨害だ。「こんな審査は見たこと無い」と審査員に罵声を浴びせる。「お客がこうだといっているんだから文句を付けるな」と高圧的に審査員に大声で怒鳴りだす。 コンサルをしていて客に言ったことの不適切性を露呈さ...
人気の投稿
-
-審査- 人の宿の手配をしてポイントを稼ぐという恥ずかしい御仁。悪い意味ではない違った価値観が支配している。ビジネスライク。それも、パーソナルビジネスライク。 -システム- エクセルを利用してリスクアセスを機械的にやろうとしているが、弊害(巨大なダミーデータの入ったリストになり実...
-
audit ひどい審査計画だ。審査員を西や東に振り回してどうするつもりだ。右往左往というのだ。分けの分からない理屈を並べて、人数が多いところでないと全体の把握が出来ないと決めて掛かっている。時間配分が上手く取れないと決めて掛かっている。本末転倒だ。この男は馬鹿だね。 京都まで行っ...
-
mytc@tsite.jp この頃のTポイントはいよいよ分かり難い。誰が運営責任者なのか分かり難い。もともとは蔦屋(ツタヤ)の会員サービスでスタートしているが、間もなく運営が独立して、汎用化して、所謂ユニバーサルポイントサービスの筆頭格として多くの利用...
-
審査開始日-年月日(6桁) 審査日数(実出動日数。半日も1日。前泊・後泊は含めない)(1桁) チームメンバー数(1桁) 初回登録年(2桁)
-
audit 酷い計画。リーダーは地方遊説でなく本社拠点をやれよ。秘匿性の高いサイトで行き先が分からなければ審査できないのだからアクセスガイドくらい出して欲しいね。 酷い計画だね。静岡へ行って、わざわざ朝一番の移動を強要しておいて、次は千葉に追いやる。時間の無駄だろう。静岡県内か神...
-
-審査- 計画は変更が多いし無理(移動時間)に無理があるし。別質のヒアリング中心で部署現場を見ない設定が多い。これじゃ良い審査は出来ない。 腰が低い。なかなか出来ないこと。 所見は凡庸。 -システム- 内容は不明 -
-
予約の日程と言ってもピンと来ないでしょう。 出張の時の予約のことです。 宿(ホテル)と足(交通機関)。先ず、宿を取ります。宿のキャンセルは自由度が高いので早くとって問題ない。早期予約料金の設定もあるから安く泊まることができる。それに、受験とかイベントとかが入ると急に宿が取れなくな...
-
アボカドピンク染 https://www.buzzfeed.com/jp/emilytulett/10-easy-steps-to-making-organic-dye-from-avocados-jp Avocado Pink アボカド・ピンク アボ...
-
090326 リスクアセスメントそのものが殆ど出来ていない。事務局だけでやっている。これではISMSの定着は無理。 ルール(ISMSマニュアル)は一定の様式で作成されているが、事務局だけが認識していて事務局だけが実施している。組織全体では形骸化の危険がある。 資産台帳に資産価値も...
-
取り立てて何が問題と言うものは見当たらない。 しかし、リスク対応計画の存在が確認できない。希薄。 いきなりリスクが全て受容レベルに収まるって言うこと自体が怪しげなものを感じる。改善活動は姿を消して全て維持活動で済まされている。基本的なところを理解していないのではないか。 継続的改...