石器時代からのIT技術者

名付けてStoneAgeSystemsEngineer。
誰かの何かのお役にたてば幸いの情報提供。

広告

※このエリアは、60日間投稿が無い場合に表示されます。記事を投稿すると、表示されなくなります。

ISO27001更新審査準備その3

2017-09-04 19:53:38 | 日記
内部監査対策に内部監査チェックリストをリニュアル。
ピーマークでは、JIPDEC審査段階で内部監査チェックリストを要求するが、ISMSでは要求されなかった。
とは言え、何も無い困るので用意してあった、規格要求事項に沿ったものリニュアル中。
27001と27002(付属書A) の要求事項に対するものを作った。
各箇条ごとに対応する規定と記録を対応させる標準形。
規格要求事項、対応規程、記録を含む文書。一応エクセルで完成。
完成はしたが、エクセルは文章が多いものには向かない、ワードも不便なのでXML化したらを考えた。
XML化はしたが、単なる表示では不十分、プログラムが必要になる。
現在、渋滞中、良い知恵はないかな。

コメント
この記事をはてなブックマークに追加

ISO27001更新審査準備その2

2017-08-12 07:53:43 | 日記
リスクアセスメントには、てこずる。
審査員曰く、すっきりするには全部やり直すのが一番。それしかないよ。
前のブログにも書いたが、脅威・脆弱性の判定表(又は方式)を作るのが大変。
それも、情報資産ごとにというから頭の中は3次元空間。
1.情報資産の列挙、情報資産の分類、情報資産のグルーピング化
2.情報資産の評価判定(現状及び対策後)
ものの本には計算式と判定方式が書いてある。書きやすいものを書いてあるようだ。
過去、4,5回審査受けたが、この部分、審査の深堀は少なかった気がする。
そりゃあそうだ、こんなところに時間をかけたら審査は終わらないよ。
でも受審側は真面目にやらないと。
石器時代のシステムエンジニア

コメント
この記事をはてなブックマークに追加

ISO27001更新審査準備

2017-07-29 12:40:44 | 日記
リスクマネジメントを見直し中。
過去、二度詳細リスクアセスメントを実施したが見直しする必要に迫られた。
1.情報資産の整理
2.脅威脆弱性リスト作成
3.情報の分類や資産価値によって情報資産の分類
4.情報資産ごとに、脅威脆弱性リストを重ね合わせる
5.上記リストに従って管理策(付属書A)を対応させCIAごとの計算
汎用性を持った脅威脆弱性リストのテンプレートがあれば役立つと感じた。
ところが、これが無いんだよね。
ネットで探してもこれを実施する有料サービスがあるだけ。
2万円位出して買ってもろくなもの無かった。
ここで、奮発、今手持ちの過去に使ったものを皆にバラまくか。
石器時代プロジェクトマネジメントへ
コメント
この記事をはてなブックマークに追加

Pマーク審査再認証受ける

2017-07-29 12:11:10 | 日記
Pマークは2年に一度だが、殆どの書類を送付しなければならない。
改定個人情報保護法をうけて様々注文がついた。
審査員は厳しいが理解ある人柄。
IT企業の仕事実態に関してひとモンチャク。
JIPDEC:法に基づいて審査する。
JIPDEC:請負仕事だから中身について請負側が責任を持つはず。
当方:請負という名の派遣もあるよ。
当方:派遣法に基づくものが派遣というわけではないでしょう。
かくして顧客先での仕事の中身のことが話題になった。
今どき、顧客の仕事をJIPDECと言えども話せないこと知らないことが沢山ある。

コメント
この記事をはてなブックマークに追加

Pマーク審査書類再提出

2017-03-03 07:23:53 | 日記
JIPDECから書類再提出のメールが来た。記載が無い、矛盾しているというもの。
中々、うまく仕組みを作ってある。
いい加減にしていると、どこかで食い違ってくる。
真面目にやっていれば間違いはあるが、それなりに内容が見える。
二週間内に再送した。
コメント
この記事をはてなブックマークに追加