がいぶしんさでした

　７月　１９日

　あるシステムの外部審査でした。

　２日間にわたり、過去３年間のシステム運用状況を審査され
るんですよ。
　この審査で重大な不具合が見つかったりするとこのシステムの
認証を取り消されることもあるんですが、もう５～６年も運用
していますから、そこまでの指摘はないだろう。って思って
いました。

　情報セキュリティに関するシステムの審査なので、
それなりに細かいところまで監査の対象となります。
　情報とか、セキュリティとか、時代の流れですよね。
これがシッカリしていないと、顧客を増やすことは
できない。っていうか、企業として成り立たなくなって
きていますよね。

　んで、まずは建物への入館方法をチェックされます。
出入り口の管理とか、入館の手続きなど。
　アタイのところは、建物へは受付で記入（身分証明書の
提示）で入れますが、部屋の中に入れるのは、その部屋ごと
に許可された人しかダメです。

　ってことで外部の人は、社員にアテンドしてもらって
入室できます。（もちろん外部の人には、誰かがズゥ～と
同行。目を離すことはありません）　
　それらが規則どおりに正しくおこなわれているかを
チェックされるんですよ。

　んで、１日目は会議室で書類関係の本格的な審査開始。
　どんな方針で運用していますか？　過去に問題になった
ことはありますか？　などなど、抽象的な質問から入ります。

　次は具体的に聞かれます。細かいんですよ。規定されている
のにやっていないとか、文書や図などのバージョンが古いとか、
ちょこっとしたことまで指摘されます。
　
　午後はオフィスに立ち入り、仕事場も監査です。
　個人で使用しているパソコンもセキュリティとかウィンドウズ
とかが最新バージョンになっているか。不要なソフトがインス
トールされていないか、セキュリティレベルは適切か、スクリーン
セイバは決められた時間となっているか。などなど。

　個人や会社情報が放置されていないか（ホワイトボードの記入、
ＦＡＸやプリンタに印刷物した紙を忘れていないか、机の上に
放置されている情報はないか。などなど）

　２日目は情報センター（サーバなど）の部屋を監査されました。
こちらも入室方法や管理体制、各書類チェック、温度や電力管理
などなど。

　結果、２日間で指摘は１件（一番軽いもの）だけでした。
　すぐに処置をして、対策ＯＫにしましたよ。
　審査員も「何か見つけなきゃ。」ってことで細かい点を指摘
するんですよね。このシステムを導入したばかりのころは、それ
なりに大きな指摘もあったんですが、最近は順調ですよ。

　もし重大な指摘だと、対策や処置がタイヘンですからねぇ。
軽いものだけでヨカッタよかった。でした。