MAIN
学ぶ
中小企業におけるマネジメントシステムのテーマ、ISMS/ISO27001構築上のヒント。失敗事例から学ぶISO27001/JIS Q 27001(構築編)
繋ぐ
予算や時間や人員不足から企画倒れになりがちな情報システムマネジメントのバージョンアップ。 普遍的原理原則、現実的な計画を繋ぐ地域ベンチャー・中小企業振興コラム
見る
街角ウォッチャー、中小企業スコープ。避けて通れぬ新たな課題と視点
知る
データ
失敗事例から学ぶISO27001/ISMS
巷に溢れる成功事例の数々は「自社にはマッチしない前提条件であまり参考にならない」というのが、リソースに限りある一般的な中小企業の事業者様の言われたいところだと思います。当社には、他所で構築に失敗して再構築を求められるお客様からよく相談をお受けします。失敗からは多くを学ぶことが出来ます。以下、ご紹介致します。
ケース1:「雛型」でドツボにはまったA社
ケース2:リスク分析でドツボにはまったB社
ケース3:審査員の肩書きにはまったC社
ケース4:ITセキュリティにはまりかけたD社
ケース5:プライバシーマークとの違いを計算に入れていなかったE社
ケース1:「雛型」でドツボにはまったA社
非IT系会社のA社では、充当人員と期間的構築コストを抑えることが当初の第1命題でした。そこで、いわゆる「雛型」の提供のある、ある会社の短期研修に参加するかたちでの構築を進められておられました。しかし、無償提供された雛型は、もともと専門的なセキュリティ技術やSEマネージャが社内に存在するのをある程度前提に作られており、社内にそのような技術も人材も必要もない更には時間もない一般的な非IT系の中小企業であるA社には当然、フィットしないものでした。何とか現場で使えるようさんざん時間を掛けてカスタマイズしたものの、そもそも設計思想も不明な上、明らかにオーバーヘッドで運用のボトルネックとなりました。審査では当然不適合、リスク分析から管理策適用までやり直しとなりました。
その状況となって相談を頂いた当社では、先ず、基本である管理策の理解について指導し、シンプルなルールを再構築しました。結局A社は、初めの構築の過程で研修を開催した会社へのお助けコンサルティング料金と併せ弊社への乗り換え依頼、審査の長期化、社内スタッフの再構築への充当などで、高い構築コストを支払わされることとなりました。
このようなケースは、マネジメントシステム構築ではよくお見受けします。自ら設計思想をもった上で、サンプルを参考にする程度なら効率のよい場合もありますが、利用環境を定めて落とし込まれた他所の雛型の適用では、どのような考えで何のために誰がルールを作ったのか審査員に聞かれて答えられないケースが多々あります。そこに矛盾があれば、当然プロセスをさかのぼる作業が発生します。
そもそも何のために誰がどのようなときに何の雛型をどう使うのか、設計思想や5W1Hを理解しFIXするまでに相当な時間コストが発生します。雛型には前提条件があります。つまりどういう環境の、どういう人員、システム、ネットワーク、資産構成、ビジネス構成のどういう局面というものが前提として構成されています。特定の前提条件のもと作成された雛型利用は取っ掛かりが楽なようで実はあとが大変なのです。これは、雛型一式の原型が細部にわたってよく出来ていればいるほどはまりやすいようです。このような構築は避けるべきと当社では考えます。
会社に即していない雛型の無計画な利用は、無駄な時間と労力、その後の運用のさらなるオーバーヘッドを発生させます。そして事件、事故は、本当に必要なことに時間をかけられずに起きます。
当社のコンサルティングでは、このような事態にならないよう、豊富なサンプルをご用意しながらも、構築、運用とも負荷にならないよう小さなルール、軽量な仕組みをご提案しています。
ケース2:リスク分析でドツボにはまったB社
中堅ソフト会社B社では、ある会社のISMSコンサルティングサービスを受けられていました。もともとB社では、機密性の高いデータセンターに重要なデータを置き、業務用データは社内サーバルーム、より可用性のあるものはオフィスルームと、情報資産管理を使い分けていました。開発環境もセグメント化され、環境セグメントごとに容易にリスク分析を行える環境でした。所が、わざわざ個別のデータに棚卸ししてスコアリング方式のリスク分析をするよう、そのコンサルティングサービスの会社の担当コンサルタントが指導をしたものですからB社は「奈落のスコアリングゲーム」に陥ってしまいました。
ISMS責任者の任を受けておられたB社管理部門長はノイローゼ気味となり、会社としても構築断念のサインを出されようとしていました。
その状況となって相談を頂いた当社では、リスク分析の本来あるべき姿について指導したところ、B社は導入まで容易にこぎつくことが出来ました。少なくとも、リスクを識別して環境のセグメント化を既に進められている会社では、審査を過剰意識した形式的なリスク分析に陥らず、既にある仕組みを最大限利用されるべきと当社では考えています。
ケース3:審査員の肩書きにはまったC社
非IT系のC社では、情報資産もまとまっており自力で審査までスムースにきました。そこへ、大手メーカー出身の肩書きを持つ年配の審査員が現れ、状況は一変しました。大手メーカー出身とはいえ、あきらかにネットワークセキュリティについて一知半解のようでした。そして、「xxxすることが望ましい」というネットワークに対するいくつもの審査指摘事項に対し、C社は無防備で一から対応し始めたものですから、現場は瞬く間にオーバーヘッドの坩堝となりました。暗号など必要のない通信要件への、暗号装置の導入、業務上制御する意味がない接続要件への、高度な制御装置の導入、冗長すぎるほどのストレージ製品の導入、こうしたことを名前負けして疑問に思いながらも実施に移しかけたのです。
その状況となって相談を頂いた当社では、リスク対応の本来あるべき姿を指導致しました。また、C社の前提条件のもと必要かつ十分と考えうるネットワークセキュリティを提案しました。
それにより、C社は指摘事項のために過剰対応せずにすみました。理論だてて審査員に指摘事項の説明を求めることは、審査員の肩書き以上に重要であると当社では考えています。中小企業のISMS担当者様のなかには大手メーカー出身審査員という肩書きだけで気圧されてしまう方がいらっしゃるようです。審査員の「先生」も、民間企業等の一社員です。そして、お金を支払っているのは受審組織である中小企業様のほうです。主張すべきところは遠慮なく主張しなくてはいけません。
ケース4:ITセキュリティにはまりかけたD社
IT系のD社では、IT系企業とは言え典型的な中小企業で、人事、総務部門が情報セキュリティを担当していました。そのため得意な人事、労務面のセキュリティ、そして133管理策(注:旧規格、2013版144、2022版93)のいわゆる人的・組織管理面の設計に重点を置いて進めていました。しかし、新たに構築メンバーに加わった社内SEが、ITセキュリティ面についてウンチクを始めました。自らの作業負荷を低減させようと考えたのか、ISMSにはセキュリティ担当の雇用が新たに必要だとか、ネットワークスペシャリストが求められる等うそぶき、現場へオーバヘッドをもたらしました。
その状況となって相談を頂いた当社では、組織に必要な役割と責任の考え方について説明し、リソースの有効活用を指導致しました。得意分野を伸ばして不足部分を埋めることは十分可能であり、それが経済性を踏まえて効率と目標を管理するマネジメントシステムの本来あるべき姿だと当社では考えています。
ケース5:プライバシーマークとの違いを計算に入れていなかったE社
アウトソーシング会社E社では、プライバシーマークを取得したものの、審査後は殆ど運用していない状況でした。事業上の要件でISMS認証取得をさらに進め始めたものの、プライバシーマークには無い審査後の定期的なサーベイランス(維持審査=通常は6ヶ月又は1年毎)を考慮せず、外部の雛型や市販資料などを寄せ集めて構成し、本当に運用した場合にはオーバーヘッドの坩堝となろうとしていました。その状況となって相談を頂いた当社では、プライバシーマークで構築された資料を再生し、有効活用し、少ないリソースでもサーベイランスに対応可能なルールを指導しています。
プライバシーマークでは、定期的なサーベイランスがないため、本来あるべきでないですが運用後のオーバーヘッドを考慮せず審査員の指摘事項に過大対応する事業者が多々あるようです。
ISO27001や他のISOマネジメントシステムなどでは、組織が何を考えどう行ったのか審査員に貫くことも、運用後のオーバーヘッド、事件、事故の回避には極めて重要です。
プライバシーマークからISO27001へのステップアップ
なんて本当に、どだいハードルが高くて無理な話なのでしょうか? そう決めつけてしまう前に、プライバシーマークとISO27001との違い、ISO27001ならではのメリットを整理してみると、プライバシーマークで利用したリソースを再生させることである程度のめどがつくことに気付きます。
そして、133(注:旧規格、2013版114、2022版93)という膨大な詳細管理策も、プライバシーマーク事業者にとっては基本を押さえればそれほど無理にハードルを越えなくても柔軟に取り組めるのがISO27001の良さだと思えるのです。
それでは実際にプライバシーマークとISO27001ではどのような違いがあるのでしょうか?
それを整理してみると、
(a) 受審組織が審査機関を選べる
(b) 規格解釈が柔軟
(c) サーベイランスがある
というのが大筋の違いだと思います。
勿論規格自体の違いもあります。規格自体は、プライバシーマークが個人情報の適切な取り扱いという範囲なのに対し、ISO27001は、事業継続やインシデント管理など広範に及ぶ情報資産に関するリスク対応というスケールの大きいものになります。
しかし、この 規格の違い以上に大きいのが、先の三点 だと言えるのです。
まず、
(a) 受審組織が審査機関を選べる
については次のことが言えます。
プライバシーマークでは、組織側で自由に審査機関を選べません(※1)。
テレビ鑑賞に例えると、NHKのみが許されるようなものです。勿論、その良し悪しの議論ではありません。NHKに本来重要な使命と役割があるのと同じです。これに対し、ISO27001では、民放局を自由に選択出来ます。
つまり、実際好き嫌いというレベルから始り、 組織の社風、考え方、方針に合った審査機関を組織側で選別することが出来る のです。
これは極めて大きな点です。即ち、
考え方が合わなければ、審査機関を変えることさえ出来るのです。
※1 特定の団体、地域に属する場合のみ、それらの間でのみ審査品質等を比較して選択できます(広く自由に選択出来るわけではありません。)
(b) 規格解釈が柔軟
については次のことが言えます。
プライバシーマークでは、(a)にも関連して、審査機関が限定される上、考え方も事実上、決められたものになります(そもそも同じ機関が運営する「プライバシーマーク制度」にそえる 忠実な事業者が対象のものです)。
これに対しISO27001では、ISO27001の精神を汲み取った上で、 組織の解釈や定義で行える範囲が広く、より組織に即した 、情報セキュリティというワイドなスコープを、 時に特定の部門などターゲット、フォーカスを絞って構築することが可能になります。
組織にとっては、情報セキュリティだ何だと言えども 資産の有効活用の結果としての利益が第1命題だと思います。ISO27001は、 経済性を踏まえて効率と目標を管理することで、守るだけの、お金が出ていくだけのマネジメントシステムに終始せず戦略的な経営ツールとすることが出来ます。
(c) サーベイランスがある
については次のことが言えます。
プライバシーマークにはサーベイランス(維持審査=通常、6ヶ月又は1年毎)がありません。そのため、これは本来あってはならない事ですが事実上、認定後の運用放置の事業者を散見します。
残念ながら、サーベイランスがないことは、一部の事業者にとってはメリットと位置付けられている事も事実のようです。また、とにかく認定のため後先考えず無理な運用をしてその結果、手がつけられなくなる事業者から失敗談をお聞きすることも少なくありません。一度の審査に運用のすべてを求められるのも一因と考えられます。
一昨年あたりに一挙に増えたプライバシーマークの認定事業者ですが、 まだその殆どの事業者が2年後の更新をしていません。「プライバシーマーク制度」が真に評価されるのは、正にこれからと言ってもよいのではないでしょうか。
以上が規格自体以上に大きな違いと言えます。
では、何故この違いが規格自体以上に重要なのか、もう少しそのあたりについて掘り下げまてみます。
サーベイランスがあれば必ずしも形骸化や事件、事後が防げるということは言い切れません。
実際、ISO27001/ISMSより先に運用が始っている他のマネジメントシステムでは認証の安易な乱発が形骸化や事件、事故を招き社会問題にもなりました。
認証は規格要求事項への適合性を評価するもので、決して審査員が組織の時間を管理し事件、事故を担保し防いでくれるというのでは全くありません。
定期的に第3者の審査機関を入れることで一定の緊張感をもって組織自ら目標を定め時間を構成して優先順位を割り当て、セキュリティを設計、構築、運用、改善する、このプロセスによる広範な注意と倫理観が事件、事故のリスクを低減するものです。
そのため事件、事故のリスクを本当に低減させたい事業者には、会社の考え方、行動を継続出来る無理のない運用スキームを設計構築し、その上で、会社の方針にも合致する審査機関を選定することで、初めて計画的にリスクを低減させることが可能だと当社では考えます。
一般的なあるべき相互関係を意味するのではなくこの考え方の根底にあるのは時間管理の重要性です。審査員は、やれ詳細なリスク分析だリスク対応だと受審組織に指摘します。しかし、
受審組織はリスクを自ら担保した上で、限られたリソースを管理しながら組織の考え方を構成する必要があります。ここに審査員とのギャップが生まれることがあります。
リスクを自ら担保し事業運営のため意味のある情報セキュリティを推進している受審組織にしてみれば、受審組織の考え方について審査員の勝手な解釈を押し付けて無駄な時間を浪費させない審査機関と審査員を慎重に選定し定期的に維持審査を受けることこそ、133(注:旧規格、2013版144、2022版93)の管理策以上に大きな意味を持ってくるものと言っても決して過言ではありません。
だからこそ、
(a) 受審組織が審査機関を選べる
(b) 規格解釈が柔軟
(c) サーベイランスがある
というのは、本当に重要な意味があるわけです。
では次に、プライバシーマークで利用したリソースは何処まで使えるのでしょうか。
先ず、人的なリソースについては、監査技能は、ISO27001の内部監査にも利用出来ます。プライバシーマークと同じように、内部監査に資格取得は特に要りません。監査項目はISO27001の規格要求事項に合わせる必要がありますが、監査のフロー自体は応用出来ます。
プライバシーマークの個人情報管理責任者にあたる責任者は、ISO27001では要求事項としては求められていません。つまり組織が役割と責任を定義することが出来ます。組織の求める役割と責任が満たされれば、個人情報管理責任者のような組織をまとめる作業負荷の多い「ISMS責任者」は無理に置かなくても可能となります。
ルールなどのリソースについては、コンプライアンス・プログラム自体はそのままISO27001の個人情報に関する要件で利用できます。
情報システム面のルールや、リスク分析・評価のツールについては、ISO27001の要求事項を満たすよう拡張する必要はあります。しかし、
プライバシーマーク事業者は大抵、個人情報自体が組織の重要な情報資産となっている筈ですので、通常要領よく進められるようです。
どの程度拡張すればよいかは、ISO27001の規格要求事項と133(注:旧規格、2013版144、2022版93))の管理策の基本を押さえたうえでギャップ分析をすることで、自ずと全体像が見えてきます。
ギャップ分析は、プライバシーマークの際にJIS Q 15001規格に照らして行われたように、 ISO27001の規格に照らして行います。その際、もしISO27001の当該要求事項に対応するプライバシーマークのルールが形骸化していても、再生・スクラップ&リビルドすることでその多くが利用出来るのが普通です。
プライバシーマークからISO27001へのステップアップのハードルも、このように整理して行くとそう高くはないのではないでしょうか。
それでもギャップ分析やルールの再生・スクラップ&リビルド、不足部分の拡張、また技能や訓練、監査がご心配な事業者様は、 私どもがご用意するISO27001新規構築プラン、セミナープラン、技能・要員養成プラン、監査プランなどをぜひ一度、ご覧の上、ご検討下さい。
Pマーク事業者様向けISO27001認証取得通信講座 好評実施中
設備投資0円からのセキュリティ
なんて本当に、どだい無理な話なのでしょうか? そう決めつける前に、設備投資の必要のないものを考えてみると、例えば、セキュリティの方針を決め、社員に責任を割り当て、教育し、事件・事故の事例を学習し、事業継続を計画する、という基本的なことには設備投資が全く要らないことに気付きます。
そして、現在すでにオフィスにあるIT関連の設備機能を最大限にフル活用する、これが本来あるべき姿であって、設備投資ゼロから始められるセキュリティだと思えるのです。
それでは実際に、設備投資ゼロから始められるセキュリティを、いざ始めようとした場合に、どのような課題があるのでしょうか? それを考えてみると、
(1) 簡単に出来そうなものをやって、本当に意味があるのか?
(2) 簡単そうに見えて難しいのではないか?
(3) 誰がやるのか?
と、いろいろと次から次へと出てくるのが普通です。このなかで、一番重要なのは、(1)の、
「簡単に出来そうなものをやって、本当に意味があるのか?」
に関する回答だと言えるのです。そもそもセキュリティの問題は、高度な技術に依存するものというよりむしろ、
「誰にでも出来るが、実際にやろうと思えば少し面倒なもの」をやらないことが原因であることが圧倒的に多いのです。
セキュリティに関する公の調査結果でもそれは歴然としています。例えば次に挙げるような、ただ実行すればよいもの、それほど苦にならない楽なものは官民に渡りけっこう徹底されているのです。
(a) ウィルス管理
(b) バックアップ
(c) パスワード、ID
これに対し、次に挙げる、「誰にでも出来るが、実際にやろうと思えば少し面倒なもの」は、行き渡っていないのです。
(x) 無線LANなど利便性の高いもののセキュリティ
(y)暗号化、認証
(z)委託先監督、指導
毎日のように起きるセキュリティ事件、事故のなかで、 聞き覚えのあるこれらのキーワードはございませんか?
このなかで、(x)と(y)については、製品やサービスに予め用意された機能をフルに使うか否かの問題であることが少なくありません。(z)については、正に、設備投資0円でもやろうと思えば出きることなのです。
課題のところに戻りますと、
「簡単に出来そうなものをやって、本当に意味があるのか?」
この問いをかけられたときに、何の躊躇もなく会社として明確に答えられるようにするのが、情報セキュリティの活動だと言えます。当然、ここはYESであるべきですね。
では、次に、
「簡単そうに見えて、難しいのではないか?」
「誰がやるのか?」
このような問いは実際、いざやろうと思えば案外すぐにでも解決出来るレベルのものです。重要なのは、何度も申しあげます通り、先の問い、
「簡単に出来そうなものをやって、本当に意味があるのか?」に対する、会社としての回答なのです。
簡単に出来そうなものをやらなかったがために、或いは横着したがために頻発する事件、事故が物語るように、意味は、大いにあると言えます。
それでもまだ社内を見渡すと意味がぼやけてしまう、自分たちのやろうとする全体が見えてこない、やってもそれっきりになのではと心配してしまう、というように躊躇される場合には、私どもがそんなお客様のためにご用意する、下記の内容をぜひ一度ご覧下さい。
私どもの、「 設備投資0円からのセキュリティプラン」、 その他のベーシックなセキュリティプラン、 スタンダードなコンサルティングプランにて対応しています。
社員の副業・小遣い稼ぎ可を決断するとある中小企業の巻(街角ウォッチャー・中小企業スコープ)
彼はいつも早く帰るけど何処かで副業でもしてるのかね?(部長)
うちは副業禁止ですよ、部長(総務)
中小企業は何処もそうでしょ(専務)
お小遣い稼ぎくらいしてる方はいますよ。税金の相談されますし(経理)
小遣い稼ぎと副業の線引きが難しい。それは就業規則違反でしょ(専務)
社長もネットでお小遣い稼いでおられますからね、一番(経理)
そ、それは、公然の秘密です(総務)
・・・・・・・・・(専務)
先駆けて、ネット副業、小遣い稼ぎくらい開放したらどうだろうか(社長)
社長、さすが!(営業)
小遣い稼ぎ力も馬鹿にはならんからね(社長)
専務もFXで相当稼いでおられますし(経理)
そ、それも、公然の秘密です(総務)
・・・・・・・・・(専務)
専務、さすがです!(営業)
経済潤滑油となるのも中小企業の役割だ(社長)
まあ確かにキャリアアップ、スキルアップになることもあるかもね(部長)
部長!(営業)
バイト的な副業及び相応の小遣い稼ぎまでを、先ずは可としてみよう(社長)
兼業は、定義をよりハッキリさせてからの必要がありますかね(専務)
兼業は、在職先同士が同等なのか、どちらかが主、従なのかという(経理)
雇用保険や特に社会保険の問題(総務)
社会保険を同等・主従で相応に分担出来れば公平感あるけどね(専務)
社会保障負担は大きいからね(社長)
先ずは小遣い稼ぎ力!(営業)
うむ、小遣い稼ぎ力は情報のアップデート、すなわちセキュリティにも繋がりうる(社長)
スキル・キャリアを磨いてフィードバックします!(営業)
うむ、社会にも還元してくれ(社長)
まとめ
労働環境の良化がセキュリティ向上にもなりうる
副業、小遣い稼ぎが変革的な情報アップデートにもなりうる
1段階の品質低下要因削減でコストパフォーマンスにもなりうる 1・10・100の法則?
ISO27001/JIS Q 27001新規構築プラン
地域ベンチャー・中小企業様を対象に、無理のないマネジメントシステムの設計、構築をご提案致します。 ※完全オンライン対応可(以下他プラン同様)
実績豊富なコンサルティングをパッケージとしてまとめ、認証取得までフォロー致します。
地域ベンチャー・中小企業様を対象とする他社との違い
-
(中小企業のISMSの成否を分ける)時間の有効利用の徹底
-
具体的な事件、事故に対するアクティビティ、所要時間、優先順位の確立
- 具体的目標への効率性の確保
- これらを柔軟に運用する、わかりやすく、かつシンプルなルールの確立
構築の流れ(マイルストーン、各種タイミング等)
構築(PDCA一巡)最短2ヶ月 より。 (←クリックして頂くと、詳細ロードマップのpdfが開きます)
標準金額
140万円 (外税)※Pマークとの割安同時セット有り:180万~ (詳しくはお問い合わせ下さい)
資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
よくある質問
ISO27001/ISMS構築等の全般について (このページの後半にまとめています)コンサルティングの全般について (このページの後半にまとめています)
ISO27001移行プラン
旧規格ISO27001及びBS7799/ISMS認証基準等 により認証取得済みまたは構築運用中の地域ベンチャー・中小企業事業者様を対象にスムースなISO移行をご提案致します。
実績豊富なコンサルタントによる勉強会ご支援、当スタッフによるギャップ分析・ドキュメント調整等のお手伝いをさせて頂き、お客様の既存情報セキュリティマネジメントシステムのISO移行への迅速対応を完全サポート致します。
特徴
-
最短1ヶ月より
組織の実状、態勢に合わせて柔軟にご支援内容を構成
-
基本人月単価
移行期間、ご支援内容、料金は個別見積によります
※中小企業様向けリーズナブル設定(相場の1/3程度)
組織の実状、態勢に合わせて柔軟にご支援内容を構成
移行期間、ご支援内容、料金は個別見積によります
※中小企業様向けリーズナブル設定(相場の1/3程度)
資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい)
※プライバシーマークからのISO27001移行も承っております。
よくある質問
ISO27001/ISMS構築等の全般について (このページの後半にまとめています)コンサルティングの全般について (このページの後半にまとめています)
プライバシーマーク新規構築プラン
「ISO27001には関心あるけど負担がある」「先ずはPマークを」という 地域ベンチャー・中小企業様を対象に無理のない個人情報保護マネジメントシステムの設計・構築をご提案致します。
実績豊富なコンサルティングをパッケージとしてまとめ、Pマーク認定取得までフォロー致します。
特徴
-
申請まで最短1ヶ月より
-
組織変更の多いベンチャーに特化した段取りと進行スピード
-
将来的なISO27001等への拡張、移行も見据えた超軽量、構造作り
申請まで最短1ヶ月の構築編成例
(←クリックして頂くと、詳細ロードマップのpdfが開きます)
標準金額
80万円 (外税)資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
※ISO27001(ISMS)との割安同時セット有り:180万~ (詳しくはお問い合わせ下さい)
よくある質問
※Pマークに共通する部分が下記二つのQ&Aに含まれますISO27001/ISMS構築等の全般について (このページの後半にまとめています)
コンサルティングの全般について (このページの後半にまとめています)
ISO27001更新、Pマーク更新、各種更新支援プラン
「ほったらかしで更新出来ない」「担当者が辞めてしまって・・・」等、ISO27001/ISMSのサーベイランスや更新審査、プライバシーマーク認定の更新 にお困りの地域ベンチャー・中小企業様を対象に無理のないマネジメントシステムのアップデートをご提案致します。
特徴
-
お客様のベンチャースピリットを鑑み、変化する業務内容、体制、態勢にスピート感を持って柔軟に構成致します。
-
一般的な更新から大規模な再設計、再構築を伴うものまで広く対応可
資料ご請求等、
詳しくはこちらまでお気軽にお問い合わせ下さい
よくある質問
※Pマークにも共通する部分が下記二つのQ&Aに含まれますISO27001/ISMS構築等の全般について (このページの次項にまとめています)
コンサルティングの全般について (このページの次項にまとめています)
ISO27001/ISMS構築等の全般について、よくある質問
-
133(注:旧規格、2013版144、2022版93))の管理策は全部、覚える必要があるものですか?
-
ポイントというのはいくつもあるものなのですか?
-
ISO27001/ISMSの責任者になる者は、足の速い技術製品を押さえる必要があるのですか?
-
技術的な監査は必須なのですか?
-
技術的な監査のテーマは審査員が決めるものなのですか?
-
ISO27001/ISMS内部監査は外部に委託しても可能なのですか?
-
最新のシステムや設備を導入しなくても可能なのですか?
-
ソフトウェア等のライセンス管理は必要なのですか?
-
法的論争になっている一部のオープンソースなどはISMS運用上、使用不可なのですか?
-
システム開発環境では多くの対策が求められるのですか?
-
他所で構築された雛型を丸々適用すると運用は楽になるのですか?
-
事件、事故は審査員やコンサルタントが担保してくれるのですか?
-
審査員は汎用機の技術者出身が多いと聞きましたが今の時代のオープン系のセキュリティはわかるのですか?
-
プライバシーマーク事業者にとってISO27001は容易ですか?
133(注:旧規格、2013版144、2022版93)の管理策は全部、覚える必要があるものですか?
管理策は「覚える」ようなものではありません。管理策という枠組みを通じて、社内ルール等を創造していくものです。創造というと大げさですが、創意工夫してわかりやすいマニュアルを作ったりというものです。この作業により、133(注:旧規格、2013版144、2022版93)の管理策の構造が自然とインプットされ、通常はポイントを押さえる事が出来るようになります。
戻るポイントというのはいくつもあるものなのですか?
管理すべき要点はまとまっています。情報セキュリティには、法的な要件になっているものと世界的に慣習となっているものがあり、さらにそれらに対して、人に関するものと、技術に関するものに大きく分けられます。これらが管理すべき要点つまりポイントということです。ISO27001では何でもかんでもやりましょうというものではなく、このおよそ4つの特性をふまえて効率的に行います。
戻るISO27001/ISMSの責任者になる者は、足の速い技術製品を押さえる必要があるのですか?
必ずしもその必要はありません。責任者の役割は、実際には組織が定めることですが、一般論としては責任者は足の速い技術製品を追いかける役割ではなく、業務プロセスの相互関係の効率等を経営の観点から押さえて対策を考えるのが大事な役割です。但し、ISO27001では管理策の有効性の評価が求められるため、技術(だけでなく他のソリューションも)に対する基準となる考え方が組織的に陳腐化しないよう、ある程度の時代の流れを押さえることは、費用対効果を定義する役割であれば当然、望まれます。
戻る技術的な監査は必須なのですか?
絶対条件ではありません。実施するかどうか、また何のために何をいつ実施するのか、というのは組織がリスクに照らして決めればよいことです。但し、どんなに素晴らしいルール、対策を施しても、既にボロボロに蝕んでいては話になりませんので、技術監査という位置付けでなくても、チェックあるいは点検というレベルでも、考えられる重要なテーマに対しては実施が望まれます。
戻る技術的な監査のテーマは審査員が決めるものなのですか?
全く違います。技術的な監査は技術的な脆弱性に対して行われるものです、技術的な脆弱性は足の速いもの、日々変化するものです。従って、陳腐化した監査とならないよう技術的な監査の実施には今日的なテーマを企業のリスク環境に照らして自ら設定する必要があります。
戻るISO27001/ISMS内部監査は外部に委託しても可能なのですか?
可能です.。一般に監査は、第1者監査、第2者監査、第3者監査に分けられます。第1者監査は、内部目的のために行う、いわゆる内部監査です。第2者監査は、利害関係者によって行われる、いわゆる外部監査です。第3者監査は、認証などのために特定機関によって行われる、いわゆる審査です。ISO27001/ISMS内部監査は第1者監査です。社内の者によって行っても、外部に委託しても、第1者監査つまり内部監査の要件を満たせばよいことになります。
戻る最新のシステムや設備を導入しなくても可能なのですか?
全く可能です。但し、リスクに応じた工夫が必要です。これには、人の役割、責任、教育、技能、そして技術の設定や構成の管理などが含まれます。こうしたものを検討したとき、トータルで、システムテクニカルな制御あるいは設備導入したほうが安くかつ効率的ということであれば、導入の検討も望まれます。
戻るソフトウェア等のライセンス管理は必要なのですか?
必須です。ライセンスなど知的財産権の順守は法的要件のため基本事項として当然に求められます。
戻る法的論争になっている一部のオープンソースなどはISMS運用上、使用不可なのですか?
ISO27001運用上でオープンソースが使用不可という基準はありません。明確なのはライセンス違反が不可ということです。オープンソースは特に第3者への権利侵害の情報に注意してライセンスを確認して従い、かつリスクの自社管理を行うことが、オープンソース利用には求められる、と弊社では考えています。尚、弊社では、オープンソースを用いたセキュリティ環境の構築を推奨しています。
戻るシステム開発環境では多くの対策が求められるのですか?
対策は、リスクに対して求めらるもので環境に求められるものではありません。当該組織独自のシステム開発環境にある、組織が識別するリスクを組織として低減可能な対策の範囲で、求められます。
戻る他所で構築された雛型を丸々適用すると運用は楽になるのですか?
大きな間違いです。ISO27001では、運用の効果測定と費用の定量化というのが運用スキームではポイントになっています。また、実働マターでは、「セキュリティ委員会」のような形式的な、言うなればいざというときにまったく役に立たない機構ではなく、インシデント管理に対する機動的な機能がポイントになります。これらは、いずれも組織独自の最小単位、最小構成の能力を基準に時間管理等の計算がなされるべきでそれによりISMSの成否が分かれると言っても過言ではありません。一時の構築期間だけでなく、継続運用のトータルなコスト、労力として考えた場合、シンプルでスリムな設計のもとある程度組織で作り込んだほうが俄然、その後のパフォーマンスも楽で高いのです。ISO27001ではさらに運用記録などから過去のプロセスを遡れるよう求められているため、「雛型」利用がややもすると生みやすいプロセスの「穴」や「手抜き」に対してより厳格になっていますので組織の設計思想の無い無計画な「雛型」利用には注意が必要です。
戻る事件、事故は審査員やコンサルタントが担保してくれるのですか?
(残念ながら)NO!です。優良なコンサルタントは、事件、事故を起さないようルール作りを指導します。悪質なコンサルタントは、他所で構築した雛型をそっくりそのまま導入しようとします(!?)。これにより、後者は当然、事件、事故が起きやすくなります。それは、どうでもよいことに(企業に即していないことに)時間をかけてしまい、本当に必要なことに時間をかけられなくなるからです。但し当然、それを承知で導入した企業の責任となってしまいます。尚、審査員は「規格への適合性」を評価するのが仕事であって、「事件、事故」について評価(担保)するわけではありませんので「審査員の指摘通りにすれば事件、事故を防ぐことが保証される」というものではありません。
戻る審査員は汎用機の技術者出身が多いと聞きましたが今の時代のオープン系のセキュリティはわかるのですか?
弊社では、「ストレージって何?」「ステートフルインスペクションって何?」というような質問をお客様に平気で投げつけるような、IT・セキュリティに関してあまりにも一知半解な審査員(ごめんなさい。。)にお客様がぶつかったとき、それがもとで無駄な労力、時間が発生した場合には前項にも関連して(場合により徹底的に)追及しています。受審組織にとって、どうでもよい指摘事項に対して時間をかけること、これほど不幸なことはありません。
戻るプライバシーマーク事業者にとってISO27001は容易ですか?
弊社では、Pマーク認定事業者様のISMSを1ヶ月の構築で認証までつなげた実績がございますので、決して難易であるとは考えておりません。
コラム「プライバシーマークからISO27001へのステップアップ」に関連事項を記していますのでぜひご一読下さい。
一昨年ほど前に一挙に増えたPマーク認定事業者様ですが、まだその殆どが2年後の更新をしていません。
事実上競合のない審査機構によって評価されるのが前提ながら、認定のために誰もその審査員指摘事項に疑問を投げかけることもありません。そもそも「プライバシーマーク制度」にそえる忠実な事業者が対象のものとなっています。本当に意味のある構築であったかは、こらから正に問われて行くという声が多いのがPマークです。(いずれにしましても、組織全体で取り組む必要のあるPマーク認定実績があれば、容易です。)
その他のご心配な点、解決課題、ご予算等について次の『コンサルティングの全般について、よくある質問』、
もしくはこちらまでお気軽にお問い合せ下さい。
コンサルティングの全般について、よくある質問
どのようなスタッフがコンサルティングにあたるのですか?
弊社ではコンサルティングの実績豊富な被審査経験者(被審査組織として現場マネジメント経験のあるもの、審査員研修修了者)、又は審査経験豊富な審査員資格保持者があたります。お客様の要件により指定可能です。弊社の一般的なお客様は、分散系セキュリティの機能要件も判断出来る セキュリティSE実務経験も豊富な前者希望が多いようです。
戻る業務に負荷を与える構築、運用なのですか?
弊社では(明確なコンサルティング方針のもと)お客様の作業負荷を計算し、構築中も、運用後も、オーバーヘッドにならないよう設計致します。どんぶり的な進め方ではなくプロジェクトの専門家によりスケジュール、工数管理をしっかり致しますのでご安心下さい。
戻る審査員受けする運用を狙うユーザもいますか?
弊社のお客様ではあまりおられませんが運用をあまりなされず初めから審査適合レベルというより審査員受けを狙うようなアクティビティを求められるケースでは、構築工数は逆に増加、より複雑化します。また、こうして意図的に審査向けに作られたものが事件、事故のリスクを負う可能性も否定出来ません。管理レベルは組織に即して徐々に上げていけばよいもので、こういった「初めに審査ありきで計算し過ぎた構築」はあまりお勧めしていません。
戻る意味のある構築にしたいと思っていますが?
前項にも関連して弊社では、当該組織にとって利益になる構築を心がけています。当該組織にとっての利益とは、経営者、社員、利害関係者皆にとっての利益ということです。ルール一つにもそれを反映させるよう心がけています。
戻るルール作りは全てコンサルタントが提案してくれるのですか?
ご提案する局面と、お客様からの、こういうものがないかというご依頼によってサンプルやプロトタイプ(試作)を提示する場面があります。
戻る認証になかなか至れないケースはどういうものですか?
弊社では幸い極めて希ですが、新しい業務プロセスや、ルール、システムを導入して満足されマネジメントシステムとして何の成果も上げられない組織が一般には間間あります。それは、考え方や行動が全く変わらないからです。いわゆる「雛型」丸々利用のケースによくお見受けします。ISO27001では運用記録などから過去のプロセスをさかのぼれるよう求められています。つまり、「雛型」利用がややもすると生みやすいプロセスの過程の「穴」や「手抜き」に対してより厳格になっています。こうしたことを防ぐには、審査料金、運用後のコストなども踏まえた上で、弊社のような低価格ご支援型コンサルティングのご活用をお勧め致します。
戻る価格設定について教えて頂きたいのですが?
大手コンサルティングファーム、セキュリティベンダ等各社へのサプライヤーとして参画していた経緯があり、 高品質を確保しながら低めの金額設定となっています。現在では 直にコンサルティングさせて頂いたお客様からのご紹介などを主体としておりますので 弊社ではローバジェット設定をデフォルトとしております。 審査料金を踏まえ、ベンチャー系企業様を初め中小企業様向けの良心的でリーズナブルな適正価格と評価頂いております。 コンサルティングのオーソドックスな内容は、このページでご案内したセキュリティ認証系のスタンダードな全プランに共通しています。
※尚、お客様をご紹介頂いた場合、ご成約した場合に20%キャッシュバック還元させて頂いております。
ご関心のある企業様、個人様はこちらまでお気軽にお問い合わせ下さい。戻る
オンライン対応や、コンサルティング時の資料や構成などについてお聞きしたいのですが?
全プラン完全オンライン対応可となっております。ご安心下さい弊社では又、コンサルティング中に、お客様のスタッフが眠くならないようロールプレイを組み合わせたり、 このページの末尾にありますようなクイズ形式のディスカッション、また、迷子にならないよう終始一貫したテキストを用います。
その他のご不明な点について 詳しくはこちらまでお気軽にお問い合せ下さい。戻る
お客様実績
- 印刷業者様 [ISMS]
- ソフト開発業者様 [ISMS]
- ASP業者様 [ISMS]
- インターネット綜合広告代理店業社様 [Pマーク]
- ギフト販売業社様 [Pマーク]
- マーケティングリサーチ業社様 [Pマーク]
- 派遣業社様 [Pマーク]
- アウトソーシング業社様 [Pマーク/ISMS]
- その他ASP等IT企業多数他 [ISMS/Pマーク]
※ドメイン規模、従業員数10名~1000名(主に50名~100名)、東京、神奈川
ベンチャー特性、地域特性、中小企業の特性に特化したナレッジ
スピード、ハイレスポンス
延べ数十社以上に及ぶベンチャー系への情報セキュリティコンサルティング、ISMS、Pマークの各ノウハウと この二つをベースに、お客様に即したご支援をご提供させて頂きます。※量産型コンサル会社と違い一社一社、丁寧かつ迅速に対応致します。
詳しくはこちらまでお気軽にお問い合わせ下さい
コンサルティング方針
ISMS(アイエスエムエス)構築等、このページでご案内したスタンダードなプランのコンサルティング方針は以下の通りです。
お客様のビジネス最優先
お客様のビジネスが最優先されるよう、基本にたった助言をさせて頂きます。
資産の活用、有効利用
お客様の資産が最大限活用、有効利用されるよう、経済的な仕組み作りをご支援させて頂きます。
経営者様の安心出来る責任者様の育成
経営者様のご負担、ご心配が削減されるよう、目標にそった指導をさせて頂きます。
営業とコンサルタントとの情報共有
各段階でのお客様との重要な取決めが当社内の当該担当者間で確実に共有されるよう、情報の管理態勢とともに柔軟かつ万全の体制のもと進めて参ります。
品質の向上
日々、お客様の利益につながるよう、ご教示を乞いご指摘等は真摯に受け止めまたひたむきに改善させて参ります。
わかりやすい言葉の使用と言葉の定義
お客様との間で使用する言葉は誤用を避けるため認識合わせをさせて頂いた上で、わかりやすい言葉によってコンサルティングにあたります。
機密情報の保護
お客様との間で知り得た機密情報等は、当社規定に基づき厳重に管理致します。
無償進呈資料
※下記内容の最新アップデート版をお打合せ時に進呈致します。3分でわかるISMS基本編 (←クリックして頂くと、pdfが開きます)
1分でわかるISO27001旧管理編 (←クリックして頂くと、pdfが開きます)
ISO27001模擬審査クイズ(割引特典付き)
下記例題のご正解者様へは、各プランにつき一律20%割引の特典を適用させて頂きます。
(例題)
ISO27001主任審査員にISMS運用の、時間管理の絶対量の考え方について聞かれました。ISMS責任者として回答はどれでしょうか?(以下三択)
回答1
『ISO27001運用ではどのようなトラブルが起きるかわからないため、絶対量を定めるのは非効率で、コストパフォーマンスを考えてラフに対応している』
回答2
『ISO27001を運用している他社の絶対量を基準に作業コストを見積もっている』
回答3
『ISO27001構築運用中にパイロット期間を設けISO27001参加者全員の平均的基準値を絶対量に各所要時間を見積りISMS運用している』
※正解はお打合せ時、お問合わせ時に担当コンサルタントが答え合わせ致します。
20%キャッシュバック還元
このページでご案内したJIS Q、ISOのセキュリティ認証系のお客様をご紹介頂いた場合、成約した場合に各プランにつき 一律20%キャッシュバック還元致します。
20%キャッシュバック還元対象プラン
> ISO27001/JIS Q 27001新規構築プラン
> ISO27001移行プラン
> プライバシーマーク新規構築プラン
> ISO27001更新、Pマーク更新、各種更新支援プラン
※法人様、個人様を問わず還元致します。
詳しくはこちらまでお気軽にお問い合せ下さい。
ISO27001/JIS Q 27001フル常駐型プラン
人員的負荷を抑えたい事業者様向けに、ISO27001完全お任せプランをご用意しています。 オーソドックスなコンサルティングのスタイル(*1)ではなく、スタッフがお客様サイドに半常駐してISO27001認証まで現場をマネジメントして 参ります。
構築の実績 をベースにお客様ISO27001/ISMS管理責任者様に代って構築を推進し、必要な教育、監査、審査対応など一連の作業スキームをご支援致します。
主な特徴
-
ISO27001構築を推進する上層部の作業負荷を削減できます
-
構築後のISMS実運用部隊を教育しながら進められます
-
ISO27001審査対応もあり安心です
構築の流れ(マイルストーン、各種タイミング等)
構築(PDCA一巡)最短2ヶ月 より。
(←クリックして頂くと、詳細ロードマップのpdfが開きます)
※2ヶ月は最短の場合です。お客様サイトに応じて長く設定することは可能です
標準金額
40~340万円 (外税)※上記資料はMAXの前提条件をもとに作成しています
※Pマークとの割安同時セット有り:180万~ (詳しくはお問い合わせ下さい)
資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
オプション
審査後のサーベイランス(維持審査=通常、6ヶ月又は1年毎)はプランの範囲外となりますが、オプションとして、サーベイランス対応をお付けすることが可能です。
オプション標準金額:20~50万円/年※サーベイランス対応は、運用レベル及び審査メニューに応じ現地にて半常駐して実施致します。併せて毎月、事件事故のニュースや新しいソリューションなどのニュースをメーリングリストにてお伝え致します。
資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
よくある質問
-
情報資産の洗い出しからリスクアセスメント、PDCA、一連の作業フローから審査対応、継続運用時の正担当者の教育まで、お任せ出来ますか?
はい、要件毎にオーダーメイドで対応出来ます。
-
システム的なフォローアップ、セキュリティ要件の定義から導入、運用までマネジメント出来ますか?
はい、現場に即してマネジメントを致します。
-
オプション対応では、同業他社等であった事件事故への対応として水平展開、システム、教育、ドキュメント等のアップデートなども含まれますか?
はい、スピードを重視し各種アップデートを致します。
※その他のよくある質問、Q&Aにつきましては、 ISO27001/ISMS構築等の全般について (←こちらのページにまとめています)、 コンサルティングの全般について (←こちらのページにまとめています)、 を併せてご覧下さい
注記
*1 ISO27001/JIS Q 27001(ISMS)構築支援コンサルティングサービス(新規取得事業者様向け)
又、*1の同等レベル支援プランとしてISO27001/133(注:旧規格、2013版144、2022版93))管理策セミナー、 (Pマーク事業者様等向け)ISO27001ステップアップ通信講座も実施しています。
資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
ISO27001ステップアップ通信講座
プライバシーマーク認定済み事業者様向けのプランとなりますが、システム管理者等、一定のレベルの方、事業者様へも対応しています。
Pマークあるいは平時のセキュリティ構築等でIT予算を使い過ぎたという事業者様はたいへん多いものと存じています。プランは、そうした、今後の情報セキュリティへのコストカットを余儀なくされておられる全国の中小企業Pマーク事業者様向けに、ローバジェットによるISO27001認証取得のための通信講座を実現致します。
弊社では、コラム『プライバシーマークからISO27001へのステップアップ』でも記しています通り、プライバシーマークからのISO27001へのステップアップを無理の無い広い明確な視点で着実かつスピーディにご支援する、数少ないコンサルティング事業者の一社と評価頂いています。
無理なハードルを越えるような構築とせず、コストを削減しながら、コンパクトに、スリムに構築していくという観点から、スタンダードなコンサルティングパッケージでご提供する構築の同等の流れに沿いながら、設計をご支援する各種文書サンプルとともに、監査指導など一連の作業スキームを通信講座にてご提供致します。
通信講座の流れ
-
ISO27001マネジメントシステムと管理策の基本学習
-
ISO27001、133(注:旧規格、2013版144、2022版93)管理策と現状のギャップ分析
-
リスク分析、リスク管理策拡張
-
導入、教育
-
監査
-
マネジメントレビュー
-
審査是正
※日程は各項目の消化状況により変動します(目安:1~7まで最大7ヶ月程度)
※各項目に対して原則最大3回メールにて質疑応答をさせて頂きます(計、全21回)
募集時期、期間、エリア
随時、全国通信講座の主な資料
-
ISO27001認証取得用構築テキスト(50ページあまり)
-
設計思想をご支援する、ISO27001文書サンプル(数十編)
-
ISO27001ギャップ分析リスト雛型他
通信講座キャンペーン期間無料オプション
-
webカメラによる問答
1h x 3回 ※夜間休日も可
キャンペーン期間:2022年3月31日までに本講座をお申込み頂いたお客様
標準金額
50万円(外税)資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
併せて、ベンチャー向けローバジェット価格設定のISO27001新規構築プラン、ISO27001移行プラン、CISO養成プランでのサポートもぜひご検討下さい
よくある質問
※ISO27001/ISMS構築に共通する部分が下記二つのQ&Aに含まれます
ISO27001/ISMS構築等の全般について (こちらのページにまとめています)
コンサルティングの全般について (こちらのページにまとめています)
CISO教育支援プラン
ISO27001構築、あるいはJIS Q 27001に準拠した情報セキュリティを効率的にマネジメントする手法の一つとして、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の設置を考える事もあるかと思います。
ベンチャー企業、中小企業において、何処から何処まで、どう養成していくべきか、そうした要請に対応するプランになっています。
背景
経営層も『わからない』ではすまされないITセキュリティの要求事項。SEを管理できる会社だけが生き残れるのは理解出来るとはいえ、ISO27001や情報セキュリティに取り組む中小企業様が打ち当たるものとしてあげられる『SEの管理』。
セキュリティを構築し管理するSEがシステムテクニカルな制御のもと密かに不正を働いても、経営層にはわからない、というのが中小企業の経営者様の抱える共通のお悩みというのがプランの背景になっています。
社員として採用したSE、外部から出向又は派遣で来ているSE、こうしたとかく流動的な社内外SEに、経営資源である情報システムを依存することはもうどだい無理が来ているというのが経営者様のいわれたいところのようです。
選択肢
ではどうすべきなのか。大手企業出身のSEマネージャを採用するのがよいのか。会社の業務には必要ないと思われる汎用機しかわからないひとではないだろうか。時代に即したオープン系セキュリティはわかるのか。SEを管理するためだけに高給のマネージャを雇用しコストパフォーマンスに見合うのか。と、経営者様はさらにお悩みになります。
弊社のご提案
ITによる情報資産が企業活動、経営に直結する今、経営戦略からのSEの管理が望まれています。 SEというものをよく知ることで経営層にもSEの管理が出来るしくみとしてCISO (Chief Information Security Officer:最高情報セキュリティ責任者)の養成をお勧めしています。
既存の役員、あるいは次期役員候補からでも、SEの作業を知り、そしてセキュリティを知り、時にSEの悩みや苦労、また不正を生む可能性のある視点を知ることで、企業戦略にSEのマネジメントを組み入れながら経営戦略、情報セキュリティ戦略を担う人材開発が短期間で可能と、弊社では考えています。
カリキュラム概要
-
開発言語の基礎からプログラミングの実際
-
攻撃手法からインフラセキュリティ実装の実際
-
IT戦略とSEマネジメントの実際
-
産業スパイ・情報犯罪の傾向、犯罪心理、犯罪予防理論
-
情報セキュリティマネジメントシステム計画の実際
お忙しい役員(候補者)様のスケジュールを考慮してご訪問しての個別構成、指導実施をメインとしていますが、合宿制の実施も準備 していますのでご相談下さい。
弊社のご提供するISO27001新規認証取得、ISO27001移行、また他のセキュリティプランと並行しての実施も可能です。
この場合、ISO27001 / JIS Q 27001の規格要求事項で求められる技能、訓練、あるいは適格な要員雇用の要件をより効率的、具体的に満たしていくことが期待出来ます。
ITセキュリティへの誤解
しかし、経営者様のなかには、CISOの人材開発といっても、そもそも文系の人間しか会社には居ないから出来ないと誤解される方がいらっしゃいます。
プログラムの基本を知ることはITセキュリティの構造を知る上でも大変なスキルとなりますが、そもそもプログラムなどわかりようがないと決めつけてらっしゃいます。これは誤解です。
普通に、論理的に物事を考えられ、日常の四則演算程度が出来れば(計算の出来ない役員の方などいないと思いますが)、攻撃可能なプログラムさえ簡単に作れてしまいます。
カリキュラムが主旨とするもの
カリキュラムでは機動力のあるCISOの養成を目指し、広い視点を持つことに重点を置きます。最高情報セキュリティ責任者たるもの、どうすれば守れるかを知るだけではなかなか事後対応ぐらいしか出来ないのが現実です。
どうすれば攻撃出来るのか、どうやって攻撃に至るのか、こうした視点を併せ持つことが、コストパフォーマンスに適った、未然防止の広い観点をもったITセキュリティそして経営レベルの情報セキュリティ施策につながるものと弊社では考えています。
次世代のCISOを目指して
そして、管理するためだけの管理ではなく、SEという能力を育み会社の資産を生かすマネジメントへ。
資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
ベンチャー企業、中小企業の死活問題である産業スパイ、情報窃盗への戦略的対応にプラン採用をご検討下さい。
特徴
-
組織変更の多いベンチャー経営に特化した段取りと進行スピード
-
将来的な他のマネジメントシステム等への拡張、移行も見据えた超軽量、仕組作り
標準金額
100万円~(外税)資料ご請求等、 詳しくはこちらまでお気軽にお問い合わせ下さい
※ISO27001(ISMS)各種プランとの並行割引有り:180万~ (詳しくはお問い合わせ下さい)
よくある質問
※セキュリティ構築に共通する部分が下記二つのQ&Aに含まれます
ISO27001/ISMS構築等の全般について (こちらのページにまとめています)
コンサルティングの全般について (こちらのページにまとめています)
インシデント管理チーム結成支援プラン
お客様企業内における、社会的責任、内部統制として求められる 情報セキュリティインシデント対応の仕組み作りを完全サポート致します。
-
現実に迫りくる地震災害や地球環境破壊等による異常気象等に起因する電気系統障害
-
あるいは不正アクセスや攻撃、知的財産や営業機密等の漏洩などの情報犯罪
-
設定ミスや操作ミス、または悪意に起因する予期せぬシステム破壊
-
そしてまたキーマンの引き抜きや信用失墜をもたらす事件事故
事業運営を危うくするこれらの情報セキュリティ上の予期せぬ出来事に、いかに対策をとり対応するか---
-
企業経営に影響するレベル
-
業務遂行に影響するレベル
-
組織運営に響するレベル
等の影響範囲と重要度を定義してコストパフォーマンスを考えながら、社内インシデント対応チームの結成、トレーニングのご支援を致します。
標準金額
50万円~
資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
情報セキュリティインシデント(information security incident)とは
戻る望まない又は予期しない単独又は一連の情報セキュリティ事象であって、事業運営を危うくする確率、及び情報セキュリティを脅かす確率が高いもの
ISO/IEC 27001:2005 用語定義「情報セキュリティインシデント(information security incident)(ISO/IEC TR 18044:2004)」)と定められています。
※ISO化されたISMSの運用プロセス及び管理策では、特にこのインシデント対応が明確に掘り起こされ重要な位置付けとなっています。組織力不足で現状は大掛かりなISMSに取り込めないという一般的な事業者様でも、いざというときに機能する最小限のインシデント対応の体制整備をすることは理に適っています。
ベンチャー企業、中小企業の落とし穴であるインシデントへの戦略的対応にプラン採用をご検討下さい。
特徴
-
ベンチャー、中小企業の成長性に隠れがちなインシデント対応力の両立
-
ビジネス拡大に即応する体制、態勢構造
資料ご請求等、
詳しくはこちらまでお気軽にお問い合わせ下さい
よくある質問
※インシデント管理にも関連する部分が下記二つのQ&Aに含まれますISO27001/ISMS構築等の全般について (こちらのページにまとめています)
コンサルティングの全般について (こちらのページにまとめています)
設備投資0円からのセキュリティプラン
地域ベンチャー・中小企業振興コラムとして評価頂く弊社の『設備投資ゼロからのセキュリティ』にもありますが、IT技術が進化し続ける今でも、普遍的なものとして、世界的にもベーシックな実装があります。これが正にゼロから始められるセキュリティ実装であり、プランはこれに対応しています。
-
先ず、お客様の業務要件をヒアリングして情報の環境をチェックし、セキュリティに関する方針を立てます。
-
それに基づいて、社員の皆様に割り当てる責任、義務を作ります。
-
それぞの役割に必要な教育のカリキュラムを作ります。
-
同業他社等で起きている事件、事故を学習してリスクを管理するための流れを作ります。
-
いざというときに機能するよう、事業継続計画を作ります。
これらはみな、世界の技術先進国で認められるセキュリティの慣習のなかでも骨格を成す部分です。 即ち、事業拡大、業務拡大に邁進されるベンチャー企業、中小企業様にあって、今後のセキュリティ展開の礎に成り得ます。
ISO27001 / JIS Q 27001等、大きなマネジメントシステム(*2)は自社にはまだ合わないというベンチャー企業、中小企業のお客様にジャストフィットします。今有るリソースを最大限に有効活用するのが大原則です。 お客様の目の届かない、或は忘れてしまった資産を見つけ、設備投資ゼロからのセキュリティをご支援致します。
標準金額
30万円(外税)~資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
よくある質問
※設備投資無しのセキュリティに関連する部分が下記二つのQ&Aに含まれますISO27001/ISMS構築等の全般について (こちらのページにまとめています)
コンサルティングの全般について (こちらのページにまとめています)
注記
*2 マネジメントシステム3分でわかるISMS(情報セキュリティマネジメントシステムの基本から知りたい)、 1分でわかるISO27001(ISO化ISMS規格の概要から管理策まで知りたい) 無償進呈資料を用意しています。必要に応じて最新アップデート版をお求め下さい。
設備投資ゼロからマネジメントシステムに挑戦されたい事業者様へも弊社では勿論対応しています (弊社のお客様は設備投資無しから取り組まれるお客様がほとんどです)。
※ マネジメントシステムやセキュリティをご支援する セミナープランやセキュリティ監査プラン も用意しています。
その他のご心配な点、解決課題、ご予算等また 資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
Pマーク/JIS Q 15001フル常駐型プラン
人員的負荷を抑えたい事業者様向けに、このページ先頭に記載のISO27001完全お任せプラン型のタイプをご用意しています。 オーソドックスなコンサルティングのスタイルではなく、スタッフがお客様サイドに半常駐してプライバシーマーク認定まで現場をマネジメントして参ります。
ISO27001完全お任せプランと同様、オプションとして更新にも対応しています。 詳細及びお見積り、資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
構築の実績 をベースにお客様管理責任者に代って構築を推進し、必要な教育、監査、審査対応など一連の作業スキームをご支援致します。
Pマーク取得・更新通信講座
プライバシーマーク取得、更新向けのプランとなりますが、システム管理者等、一定のレベルの方、事業者様へ対応しています。 このページ記載のISO27001ステップアップ通信講座型のタイプになっています。
ISO27001ステップアップ通信講座同様、地域ベンチャー・中小企業様にローバジェットによるプライバシーマーク認定取得、更新のための通信講座を実現致します。
構築の実績をベースに、 無理なハードルを越えるような実装とせず、コストを削減しながら、コンパクトに、スリムに構築していくという観点から、スタンダードなコンサルティングパッケージでご提供する構築の同等の流れに沿いながら、設計をご支援する各種文書サンプルとともに、監査指導など一連の作業スキームを通信講座にてご提供致します。
資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
保護法等速攻対応プラン(スポット対応プラン)
ISO27001やセキュリティを運用して行く中で、競争入札、取引先要件、法的要件、事業要件、社会的要求事項等に そうため急な対応を迫られる場合があるかと思います。
例えば、IT及びITセキュリティに関連する各種法令、個人情報保護法他、 お客様の事業所における、所管省庁ガイドライン等に基づく最低限の実装など。 こうした短期スポットに最長1週間内に定め、ご支援致します。
コンプライアンス構築と実装の実績をベースにコンサルタントが本来あるべき姿を示しながら、判りやすくかつ速攻態勢で対応致します。※最短2日より。
標準金額
10万円(外税)~ ※2日の場合資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
尚、プランでは、要件的な定義、基本的な設計、文書化、ルール化など各パートを主としますが必要に応じ技術的なプランを提案致します。
セミナープラン
ベンチャー企業、中小企業のグループにおいて、主要メンバーを集めて合宿スタイルでセキュリティの思想設計に臨みたい場合もあるかと思います。 地域ベンチャー・中小企業の事業者様向けに、セキュリティのマネジメントや、ISO27001/JIS Q 27001(ISMS)認証取得のためのセミナー開催を バックアップ、各種個別対応しています。
合宿セミナー
競争入札、取引先要件等でISO27001/JIS Q 27001(ISMS)認証取得をグループ企業、パートナー企業で連携して取得されたい事業者様、事業上の要件、また法的要件等でセキュリティ態勢を集中的に強化されたい事業様に対応しています。また、ソーシャルエンジニアリング対策などの集中強化に。
オーソドックスなセキュリティスタンダードプランでご提供する構築の流れに沿い、設計思想を支援する各種文書雛型、監査指導など一連の作業スキームをご提供いたします。
133(注:旧規格、2013版144、2022版93)の管理策の勉強会に特化してご提供することも可能です。 例えば、プライバシーマーク(JIS Q 15001)や、品質マネジメント(ISO9001)、環境マネジメント(ISO14001)などを構築されているか、あるいは セキュリティの基本的な構築運用は何とかなりそうだが肝心の管理策のポイントがわからないという事業者様向けに、オープン系セキュリティSEの経験豊富な弊社スタッフを含めた講義を集中的に行うカリキュラムを組むことも可能になっています。 独立系の安心のカリキュラムです。
通常セミナー
プランとは別に適時、133(注:旧規格、2013版144、2022版93)管理策とタイムマネジメントに焦点をあわせた1日有料セミナーを開催しています。開催日等は弊社のホームページのお知らせで随時告知しています。
その他、教育系では下記のプランを各セミナー型にも用意しています。
- SE向け(ISO27001、ISO/IEC TR 13335の基礎)
-
CISO養成向け(開発言語の基礎から攻撃手法、インフラセキュリティ実装、産業スパイ・情報犯罪の傾向、犯罪予防理論、マネジメントシステム計画まで)
-
人事、労務管理者向け(災害時帰宅計画他)
※ベンチャー企業、中小企業の即断力を鑑み、料金はリーズナブルに設定しています。
資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
セキュリティ監査プラン
ベンチャー企業、中小企業の事業者様向けに、ISO27001/JIS Q 27001(ISMS)構築等に伴うセキュリティ監査、プロダクト監査を個別プランニング しています。
技術監査
競争入札、取引先要件等で具体的な技術的ターゲットを対象にお考えの事業者様、事業上の要件、また法的要件等で一般的なセキュリティを強化されたい事業様へ対応しています。例 Cisco PIX、Oracleの物理、論理構成の監査
各プロダクト設計、構築のエキスパートが実施します。
マネジメントシステム監査
セキュリティマネジメントシステム監査のエキスパートが実施します。
-
ISO27001/JIS Q 27001内部監査支援
-
ISO20000/ITSMS
-
プライバシーマーク/JIS Q 15001内部監査支援
※料金はターゲット/プランにより異なりますが、ベンチャー企業、中小企業の即断力を鑑みリーナズナブルな設定にしています。
資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
既存ITインフラのセキュアアッププラン
既存のITインフラの設定、構成を少し変えるだけでも、セキュリティ品質は各段と高く出来る場合があります。プランでは、 これに対応しています。
弊社コラム『設備投資ゼロからのセキュリティ』にもありますが、 セキュリティの問題は製品、サービスに予め用意された機能を標準通り、推奨通りフルに使うか否かの問題であることが少なくありません。
内容
オフィス環境及び既存ITインフラの物理構成、論理構成、そして脆弱性またボトルネックをチェックし、本来あるべき値になっているか、 リスクを低減させるよう構成変更、設定変更致します。
今有るリソースを最大限に有効活用するのが大原則ですので、無駄に利用されているものは排除し、機能の利用が不足しているものは、システム稼動の影響範囲を評価の上、(本来あるべきパラメータに)メンテナンス、チューニングを行います。
導入例
1サイト(事業所)、Linuxサーバ1台、Windowsサーバ3台、Ciscoルータ1台、PC30台、無線LAN装置数台の小規模ネットワークの場合のセキュアアップの流れ
-
オフィス環境の検査
-
ネットワーク物理構成の検査
-
サーバ、ネットワーク機器、無声装置、PCの論理構成検査
-
サーバ、ネット―ワーク機器、無線装置、PCの脆弱性検査
-
ボトルネックの評価
-
メンテナンス、チューニング評価
-
セキュアアップ実行(標準設定、変更・完了)
プロダクト、規格適合制評価に重きを置いたセキュリティ監査が独自の高度な 要件を実装した設定値を前提にするのに対し、
プランでは製品、サービスに予め用意された、推奨される 全般的なあるべきセキュリティ設定値、構成の標準的なパラメータ設定に重きを置いています。
個別見積りとなりますので、資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
※上記導入例の場合、一週間/40万円(外税)より
セキュリティエンジニア常駐プラン
専任のセキュリティエンジニアが常駐することで技術的な実装について遥かに向上する場合があります。プランはこれに対応しています。
弊社のマルチベンダ対応セキュリティエンジニアがお客様サイドに常駐し、共にITセキュリティ及び情報セキュリティを考えて参ります。 エンジニアリングの要件は、ISMSコンサルタントがヒアリングし、必要かつ十分な人と技術をコーディネートして、業務を支援致します。
標準金額
人月単価資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
よくある質問
-
Linuxとオープンソースでセキュリティを実装して行きたいと考えていますが対応可能ですか?
-
個人の経験値よりプロダクトのライセンスに基づくことが可能ですか??
-
ISMSに適合出来るまで常駐可能ですか?
いずれも重要な点かと思いますが、可能です。
※その他、共通する部分、関連する部分が下記二つのQ&Aに含まれます
ISO27001/ISMS構築等の全般について (こちらのページにまとめています)
コンサルティングの全般について (こちらのページにまとめています)
管理策とタイムマネジメントに焦点(ワンテーマ・セミナー)
導入後のコストパフォーマンスを考えた場合、運用において、タイムマネジメントはもっとも優先されるべきという考えがあるかもしれません。 プランはこれに対応しています。
完璧など存在しない情報セキュリティに対し、本当に意味のある、"今必要なこと"
"今やるべきこと"
に対し、いかに限りある時間を優先的に割り当てるか、これが、リソースに限りある一般的なベンチャー企業、中小企業にとって事件、事故を起さない唯一の方法であり、本来あるべきISMSの姿なのではないか、と弊社では考えています。
多発する情報セキュリティ事案の究極の原因
弊社の調査や考えでは、昨今多発する情報セキュリティ事件、事故のなかには、どうでもよいことや形式的なことにあまりにも時間を掛け過ぎ、本当に対応すべきことに時間を掛けられずに起きているものが多いと、時間管理のその重要性をあらため痛感しています。
膨大な管理策の中からいかに構成するか
133(注:旧規格、2013版144、2022版93)という膨大な管理策の中から、いかに時間を構成して現場に即したルールを作り上げ実施するか、これには管理策の構造をよく理解した上で、ポイントを押さえてマネジメントすることが欠かせません。
プランではこうした観点からタイムマネジメントと133(注:旧規格、2013版144、2022版93)の管理策の包括的な理解に重点を置いて講義、ディスカッションを行います。
対応ユーザ
独自にISO27001を構築中ながら管理策が心配という事業者様、あるいは構築運用は何とかなりそうだが肝心の管理目的、詳細管理策がよくわからないという事業者様、また他のマネジメントシステム(ISO9001品質マネジメント、ISO14001環境マネジメント、JIS Q 15001プライバシーマーク等)を構築されていて、情報セキュリティの部分にフォーカスして知識を深めたいという事業者様に、通常セミナー型プランとして対応しています。 ふるってご参加ください。
プログラム
-
133(注:旧規格、2013版144、2022版93)の管理策の構造とポイント、インプリメント例
-
タイムマネジメントの重要性と設計(アクティビティ、所要時間、優先順位)
-
参加者ディスカッション
今後の開催日程
適時開催毎に、弊社ホームページのお知らせで随時告知しています。
標準金額
1名様5万円(外税)※同一会社の方は3名様まで (料金はお2人目70%、3人目50%)
定員
15名様(御申込先着順)※最低催行人数5名様に満たない場合に延期となる場合があります
場所、交通
溝の口ノクティプラザ内(他、川崎周辺) 東急田園都市線溝の口駅、JR南武線武蔵溝ノ口駅下車徒歩2分 (川崎周辺の場合徒歩10分程度)
資料ご請求等、詳しくはこちらまでお気軽にお問い合わせ下さい
20%キャッシュバック還元
このページでご案内したベーシックなセキュリティ実装のお客様をご紹介頂いた場合、成約した場合に各プランにつき 一律20%キャッシュバック還元致します。
20%キャッシュバック還元対象プラン
> ISO27001/JIS Q 27001フル常駐型プラン
> ISO27001ステップアップ通信講座
> CISO教育支援プラン
> インシデント管理チーム結成支援プラン
> 設備投資0円からのセキュリティプラン
> Pマーク/JIS Q 15001フル常駐型プラン
> Pマーク取得・更新通信講座
> 保護法等速攻対応プラン(スポット対応プラン)
> セミナープラン
> セキュリティ監査プラン
> 既存ITインフラのセキュアアッププラン
> セキュリティエンジニア常駐プラン
> 管理策とタイムマネジメントに焦点(ワンテーマ・セミナー)
※法人様、個人様を問わず還元致します。
詳しくはこちらまでお気軽にお問い合せ下さい。
無償進呈資料
※下記内容の最新アップデート版をお打合せ時に進呈致します。3分でわかるISMS基本編 (←クリックして頂くと、pdfが開きます)
1分でわかるISO27001旧管理編 (←クリックして頂くと、pdfが開きます)
ビジネス方針
セキュリティ実装の支援等、このページでご案内したベーシックな全プランの方針は、スタンダードなコンサルティングプランで掲げる明確な方針に準拠しています。
行動規範
弊社のサービスのコアになっているものが本来ベーシックなものであり、 物や人が本来持っている能力を最大限に有効活用するというシンプルな考えがベースになっています。
環境への基本的な考え方
そうした考えに基づき、ソフトウェア、ハードウェアにかかわらず、地球環境また生態系への影響、とりわけセキュリティをよく考慮し、調達を行って参ります。
情報セキュリティの基本的な考え方
ベーシックなものを突き詰めると、ITというものを超えた領域、すなわち 非テクノロジー的なものが占めている場合があります。こうしたものに 対応することは非常に大事です。
法的要求事項、社会的要求事項、そして事業上の要求事項をよく考慮し、相応しいリスク管理策を適用してこれに対応するISMSを運用して参ります。
情報保護の基本的な考え方
情報の扱いを規定し、例えば個人情報の保護については、関連するコンプライアンス・プログラムの要求事項をよく考慮し、利用目的を定め、利用を制限し、適切な収集、安全管理、監督を行って参ります。
データ
商号 有限会社シーナス
英語表記 SEENAES, INC.
設立 2005年12月
資本金 300万円
代表者 浜口 眞
事業内容 総合セキュリティエンジニアリング
所在地 神奈川県川崎市幸区下平間130-1イシイビル
取引先企業 シンクタンク、セキュリティベンダ、メーカー、 中小企業各社
主要銀行 三井住友銀行
沿革
2003年9月 JIS Q構築等に関連する個人事業開始
2005年12月 法人化し大手法人向け事業開始
2006年1月 東証一部上場企業等へのサポート事業開始
2010年1月 個人向けサポート事業開始
2018年12月 知的財産権(著作権、商品化権等)マネジメント事業開始
|
事業分野
IP分野
IP(Intellectual Property)開発、構築、運用
IT分野
IT開発、構築、運用
SEENAESとは
Security Engineering Aesthetics
美しいものや楽しいものにネットワークを張り巡らし最大限そうした情報の着信を選別している時代はとうに終わっています。
忌まわしいもの、恐ろしいものにもリソースを割かなければならないリスク管理の必要性が日々増しているからでしょうか。 社会のシステム的ストレスが、例えばそうしたある種の僅かな動機付けのもとでかがなべて蓄積されていく部分もあると時代が気づかされたからでしょうか。
社会のそのストレスはしかし時に決壊し、システム的"暴走"へと繋がるリスクが常にあります。人々が拒否しようとするものを直視し、システムテクニカルに人々の安全の範囲にエクスチェンジする、そして世の中の平穏を保つことに時に貢献していくのが、私どものミッションの一つだと考えています。
オゾン層破壊等による地球環境への影響が叫ばれ始めていた数十年前、例えば環境と安全について、学生や一般人が社会へ声高に訴えようとした場合、その手段は限られていました。また、
有識者がそうしたテーマを映画などにしようとした場合、当時としては巨額の費用がかかるばかりかなかなか一般には理解が得られずお金さえも簡単に集められなかったといいます。しかし、
情報とテクノロジーの時代が成熟するにつれ、誰もが訴えを瞬時に宇宙にまで発信してリアルタイムに世界中でリスクをシェアできるようになっています。
そして今、
そうしたリスクをシェアする情報環境の役割は一層、人類にとって、そして次世代にとって、そしてまたすべての動植物また環境にとって、大きなものになっています。
そのなかで私どもは、情報とセキュリティテクノロジーをもって、情報環境の進化を支援する活動をして参ります。先ずは、
時代に即した優秀なセキュリティエンジニアリングの人と技術を開発し中小企業様をご支援することから始めています。
Security Engineering Aesthetics... SEENAES それはリスクをとらえて未来を見つめる、私どもの考え方です。
(C) 2004-2025 SEENAES