スポットコンサルについて
情報セキュリティ倶楽部の非会員の方にもスポットでのコンサルティングを実施しております。
「教育の実施」「内部監査」「情報資産・リスク見直し」など、必要な時に必要な分だけサポートして欲しいといったご要望を受け付けておりますので、お気軽にご相談ください。
個別相談
ISMSやPマークは認証取得後も毎年PDCAを回す必要があります。担当者は、自社のルールに準じて運用を行っていきますが、日々組織は成長し、セキュリティを取り巻く環境も変わっていくため、運用方法やルールの変更を検討する必要が出てきます。
担当者は、自社のルールや業務については精通していても、規格の要求事項や審査傾向、最新のセキュリティの動向まで精通することは難しいケースがほとんどです。
そのため、ISMSやPマーク等の専門家であるコンサルタントに相談いただくことで、担当者の疑問点や課題を解消し日々の運用をサポートします。
メニュー | 支援内容 |
---|---|
コンサルタントとの相談 | ISMSやPマークを運用していくにあたり発生する疑問をコンサルタントが解消する。
|
教育
Pマーク・ISMS共に年に1回以上、従業者に対して個人情報保護、情報セキュリティに関する教育を実施することを求めています。
ただ、教育自体は実施しているものの、その内容は新規取得時にコンサルティング会社から提供を受けた教材を毎年、何年間も同じものを使いまわしているというケースは非常に多いです。
しかし、事業・働き方の変化や使用するサービスの変化によって求められるセキュリティへの認識は変わってきます。そのため、自社の状況を踏まえずに同じ教材を使いまわしているのは、教育の本来の目的にそぐわないものとなってしまいます。
形だけのものではなく、意味のある教育を実施していくためにも、情報セキュリティ倶楽部では、認証取得後のお客様を対象に継続教育の実施等のサービスを提供しています。
メニュー | 支援内容 |
---|---|
オリジナル教材作成 | ご要望に合わせて、教育テキスト・テストを作成 |
オリジナル教材作成+集合研修講師 | ご要望に合わせて、教育テキスト・テストを作成し、そのテキストを用いてコンサルタントが集合研修を実施 |
集合研修講師 | コンサルタントが集合研修を実施(2時間) |
内部監査員研修 | コンサルタントが集合研修を実施(2時間) |
リスクアセスメント
特定の社内の個人情報や情報資産の見直しやそのリスク分析は認証取得時に行えばよいものではなく、最低年1回は見直しを行う必要があります。しかし、運用が上手く出来ていない会社ではこの見直しをかなり軽視している傾向があります。
形上見直しした記録だけを残す、見直しをするが現在特定している情報の内容が変更されていないかの確認だけで、業務ベースに新規の情報がないか、環境の変化等でリスクが変わっていないかなどのチェックは全くおこなわない。ということが多いです。
定期的な見直しをおこなわないと、ずさんなリスク管理体制よる取り扱いミスからの情報漏えいや、情報漏えい発生時に事態の把握ができない、ということが発生します。
そんなことが起きてしまうと、対応が後手に回るだけではなく管理不十分として認証を維持する上で、なにかしらの処分が下される可能性も否定できません。
情報セキュリティ倶楽部では、形だけの見直しにならないよう定期的な見直しをお手伝いします。
メニュー | 支援内容 |
---|---|
リスクアセスメント実施 | コンサルタントが、一つの部署につき30分ごと業務ヒアリングを行い、リスクの洗い出し、リスク対策をご提案 |
委託先管理
PマークやISMSを取得している場合、業務委託先の管理が必要です。
単に審査のためだけに委託先の管理であれば、マーク取得時の評価項目をずっと使い続ければ良いのでしょうが、適切な委託先評価をおこないたい場合、委託先の状況変化に応じて評価時のアンケートを変更する必要があります。
- 委託先が引っ越した
- 紙で渡していたものが電子になった
- 自社のリスク対策に変更があった
委託先の状況に合わない形だけのアンケートをおこなったとしても、それは逆に自社の情報が漏えいするリスクを高めているだけです。
自社で直接管理するわけではないからこそ、現状をきちんと分析した上でアンケートを作成し評価することが必要となります。
情報セキュリティ倶楽部では、こういった委託先の管理でお悩みを改善するサービスを用意しています。
メニュー | 支援内容 |
---|---|
委託先アンケートの作成 | 委託先の業種・規模・契約内容に合わせて、セキュリティレベルを図るために必要な項目を盛り込んだ委託先アンケートをコンサルタントが作成。 |
委託先への外部監査実施 | 委託先の事業所にコンサルタントが赴き外部監査を実施、監査報告書を委託元事業者に提出 |
内部監査
Pマーク、ISMS共に内部監査の実施を教育同様年1回以上の実施を求めています。
監査は会社が行なっている管理策がちゃんと運用できているか、会社が持っているリスクが発生していないかを確認し、またこれまで認識していなかったリスクがないのかを現場にヒアリングできる重要な場面です。
ただ、多くは形だけの監査をおこない、「何も問題がない」と記録したり、審査の直前に記録だけを作成している。といったものを多く見かけます。
また、内部監査をおこなう時も、内部監査前にリスクの見直しをおこなって新しいリスクが起こっていないか確認し、そのリスク分析を元に内部監査をおこなうか、内部監査時に現在会社がどういったリスクを持っているかを把握し、その監査結果を元にリスクの見直しをおこない、次の内部監査まで運用するすることがベストであると言えます。
情報セキュリティ倶楽部では、うまく内部監査の実施ができていないお客様や、より会社に合った内部監査実施したい方向けのサービスを用意しています。
メニュー | 支援内容 |
---|---|
内部監査実施 (実施+監査報告資料作成) |
コンサルタントが内部監査を実施。内部監査の結果をまとめた報告書等を作成 |
内部監査立ち合い | 自社の内部監査員が内部監査を実施する場にコンサルタントが同席、必要に応じて助言 |
マネジメントレビュー
Pマーク、ISMSで監査・教育と並び年に1回以上の実施が求められているのがマネジメントレビューです。
ただ、現実は一番実施が軽視されていると言っても過言ではありません。
形だけの議事録を作成し終了している・実施はしているが議事録内容には「見直す内容は何もなかった」と一言書いているだけ。こんなことでマネジメントレビューが実施出来ていると言えるのでしょうか。
マネジメントレビューはマネジメントシステムを運用するPDCAサイクルの中で一番最後のAの部分の役割を持ち、次のPへつなげる重要な位置づけにいます。つまりこのマネジメントレビューが出来ていなかったら、次のPDCAサイクルがうまく回らないわけです。
そうならないためにも情報セキュリティ倶楽部ではマネジメントレビューのサポートメニューを用意しています。
メニュー | 支援内容 |
---|---|
マネジメントレビューへの出席 | 自社のマネジメントレビューを実施する場にコンサルタントが同席、マネジメントレビューの実施記録作成をサポート |
文書改訂
認証マークを維持していく上で、内部文書である規程や様式類は必要不可欠なものです。
必要不可欠だからこそ大量に文書を作ってしまい規程数百ページ、様式50個超など作成されている会社があったりもします。
もちろん、全ての規定内容が運用に必要なので50個を越える様式も1年サイクルで見た場合全て利用されているものであれば問題はありません。一度、会社の規程や様式を見てみてください。書いてはいるが一度も行なったことがない管理策や運用の様式ありませんか?もしあれば、それは自社に必要のないものかもしれません。
会社にとって不必要な文書があると運用をしていく中でどの様式を使って良いのか混乱を招いてしまったり、ボリュームが多いことを理由に運用していくことが面倒に思えてくる可能性があります。
情報セキュリティ倶楽部では無駄なボリュームの内部文書を見直し、取得するための文書ではなく運用するための内部文書作りをサポートします。
メニュー | 支援内容 |
---|---|
既存文書の作り替え (スリム化) |
コンサルタントが運用状況や事業内容のヒアリングを行い、既存の文書の見直し、自社の運用しやすい文書に作り替えをサポート |
ISMS・Pマーク文書統合 | ISMSとPマークの文書が別々で存在する場合、ISMS・Pマークの必要事項を満たした文書を作成 |
個人情報保護規程策定 | 個人情報保護法及びガイドラインに準拠した個人情報保護規程を作成 |
審査
認証を取得している企業様は、ISMSおよびその他ISO認証は毎年、Pマークは2年に1回必ず審査があります。そして、審査ではほとんどのケースで指摘が出されます。
担当者の方は、指摘は出されたもののどう対応すればよいかわからないと悩まれた経験が一度はあるのではないでしょうか。
指摘は、より組織のセキュリティ体制を良くしていくために出されるものです。指摘の内容を理解し、自社のルールに反映させていくからこそ有効なものとなります。
ただ、言われたから対応するだけではなく、より自社にとって有効なものに変えることができるよう、情報セキュリティ倶楽部では、審査及び審査の指摘事項に対しての改善対応をサポートするサービスをご用意しています。
メニュー | 支援内容 |
---|---|
現地審査指摘事項対応サポート | 審査で発生した指摘事項に対して、コンサルタントが対応方法のご提案、指摘事項対応報告書の作成をサポート |
審査立ち合い ISMSのみ | ISMSの審査にコンサルタントが同席、当日の審査対応をフォロー |