Information Security Management System
*- ISO27001 -*
|
|
|
|
★☆ 規格 ☆★ |
| 規格本文 |
| 管理目的と管理策 |
| テンプレート |
★☆ 構築計画 ☆★ |
| 考察:なぜISMSか |
| 考察:展開アプローチ |
| 考察:上がりのイメージ |
| 現状調査 |
| 取り組み事例 |
★☆ リンク ☆★ |
| ホーム |
| セキュリティ事件事故 |
| 適用範囲 |
★☆ Profile ☆★ |
|
|
Dandelion
SINCE2006
なぜISMSなのか
情報セキュリティ(CIA)を確実にすることは部門/グループのミッションとして当然の課題。物を作っていて品質マネジメントに取り組むのと同じこと。常々取り組んできて今改めてISMSを改革テーマとする理由:
-
ISMSへの本格的な取り組みを先送りできない状況(具体的には?)が出てきた。
-
従来の取り組みではなかなか改善が進まない現状を打破したい。
Integrated Management System
仮想的マネジメントモデルの時代へ
現状の問題
-
情報基盤Gの業務は従来から個人の業務スキルに依存してところが多い。情報システムサービス業務標準の文書化が不十分。
-
アウトソーシングが進まない。←問題か? コストの面、継続性の面で課題有り。
-
メンバーの若返りが進んでいない。
-
技術変化、脅威・脆弱性の変化、事業要求の変化などに追従するだけで、手いっぱいの状況が続いている。(自転車、貧乏暇無の状態?)
-
人材の計画的育成が行われていない。(職能的なローテーション、新人/中途採用、部門シスアド駐在、など)
-
ベテランは定年の時期を迎え現状維持すら出来ない懸念がある。
-
更に2007年問題の前に役職定年制度により前倒しされる恐れもある。
-
管理すべき情報/データが管理されていない(中期計画データ、ベンチマーキングデータなど都度対応で、しかも多分、不正確。)
-
常時高残業体質。そもそもリソース計画が不適切なのか、頭数は間に合わせてもスキルマップ上問題なのか確認する必要あり。
-
事件事故時対応の過剰反応?。モバイルPCがデスクトップでしか使えない状況。営業とかサービスとかはお手上げ。
先送りできない問題
-
JSOXへの対応:
日本版SOX法の2008年4月導入を踏まえ、統制管理の仕組み構築をその前に完了させている必要がある。(当初2007年4月導入の案としていたが、現時点では1年遅れの観測が多い。) JSOXはインフラに直接言及しないが適切に管理されている前提がある。また、ITマネジメント全体で見てインフラ部分とJSOX対応部分に不整合が生じないことも必要。
-
2009年3月決算報告はJSOX法に基づくことが必要。従って、
-
2008年4月からの実績はJSOX法要求を満足している必要がある。従って、
-
2008年3月までに統制の仕組みは完了させている必要がある。内部統制の範囲は業務処理と業務アプリケーションシステム。
-
業務アプリケーションシステムに対する内部統制を確実にするため、共通情報基盤(インフラ)に対する統制の仕組みは2007年3月〜2007年9月まで(0.5年〜1.0年まえ)に完了させておくことが必要。
(注)ISMSに取り組むことと認証取得は分けて考える。取得自体は別ロードが発生するので集中させず順次展開の前提とする。
-
2007年問題への対応:
ベテランの漸次リタイアを乗り切るために、人材ローテーション、アウトソーシングなどの施策展開を視野に、業務ノウハウ/業務スキルの文書化を急ぐ必要がある。
-
グループ企業間機能再配置への対応:
★☆ 認定機関 ☆★ |
|
|
|
|
|
|
★☆ 認証機関 ☆★ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
★☆ 海外リンク ☆★ |
 |
