例えばリスクアセスメントの結果であったり、内部監査の結果であったりと。

記録には「承認」欄が授けられている場合が多いです。

記録を取るだけでなく、内容が適切であるかどうかを管理者であったり
社長であったりという承認者が「これでOKだよ」という意思を示すためです。

多くの企業で、この承認の印と印鑑を使っています。
実際の記録の用紙に確認印欄を作っておいて、そこに印鑑を押せば良いので
運用としてはシンプルですし、実用的です。

ただ、必ずしも印鑑がなければいけないと言う訳ではありません。

承認者自身がサインをしても良いですし、そもそもとして
紙でなく電子データとして記録管理をする場合は印鑑自体が押せません。
（電子印とか使うのであれば良いですが）。

電子データとかの場合の承認の仕方も色々です。
先に述べた電子印鑑を使用しても良いです。

もっと簡単にお金を使わない方法としては、例えば承認者が「承認したよ」という
メールを出すことでもOKです。

社内で使っているワークフローシステムがあるのであれば
そのシステムにのせるのでも良いと思います。

要は、大事なことは必ず承認者が内容を確認することです。
別に印鑑でも、システムでも、メールでも承認の仕方は何でもOKです。

必ず印鑑で承認しなければいけないと思って紙での記録管理をしている場合は
電子データでの管理を含めて運用方法を見直してみるのも良いかもしれません。

そういった会社がISMSを取得する際には本社だけで取得するパターンは案外少ないです。
多くは東京支店もISMSの対象範囲に含めます。

ISMSを取得している業界で言えば1番手であるシステム業界でも
このパターンは非常に多く見られます。

東京支店では開発業務は行っていなく、営業だけの場合もあります。
東京支店で営業をして、その案件の開発を本社で行うようなパターンです。

「開発業務を行っているのは本社だけなので東京支店(営業所)は
わざわざISMSを取得しなくても良いんじゃないの？
お金も多くかかるのに」と思う人もいるかもしれませんね。

ただ、本社だけでの取得にした場合は、東京支店はISMS認証範囲外となってしまいます。
必然的に東京支店のメンバーの名刺にはISMSのロゴは使用できません。

もちろん営業活動中に口頭で「ISMSを取得している本社で開発を行いますので
ご安心下さい」とは言えます。

だけども、やっぱり（？）営業員の名刺にもバッチリ(?)と認証ロゴがあった方が
営業活動的には良いらしいです。

実際にお客様からも「名刺にロゴが入っているのと、入っていないとでは違う」
といった声も多く頂きます。

認証ロゴ(シール)が大事な訳ではありませんが
認証取得が目的ではありませんが
どうせ取得するのなら売上の貢献に結びつけるようにした方が良いです。

評価というのは他者（他社）が行うものですので
他者が評価し易いようにすることも営業活動上では大事だと思います。

今日は久しぶりの名古屋でのお仕事です。微妙な天気なのと前回行った美味しかったひつまぶしのお店が休業なのが残念です。

posted at 18:03:43

お話を聞いていると、最初にPマークを取得して、ステップアップとして
ISMSにたどり着くイメージを持たれているようです。

PマークもISMSも共に情報セキュリティに関する認証制度ですが
同一、または延長線上のものではありません。

「ISMSはPマークよりも難しい」ということもよく聞きますが
必ずしもそういった訳ではありません。

Pマークは、個人情報保護マネジメントシステムという言葉通り
個人情報に特化していますし、「保護」という言葉が表すように
どちらかと言うと、「○○しなさい」というMustの項目が多いです。

あくまでもベースに遵守という考えがあります。

一方、ISMSは情報セキュリティマネジメントシステムとなっており
取り扱う範囲は情報全般になります。
もちろん、情報の中には個人情報も含まれますが、個人情報以外にも
営業情報や企業ノウハウ的なものも含まれてきます。
また、「○○しなさい」というMust項目も少なく「どのようにしていくのか」を
各会社でそれぞれ決めていきます。
そういった意味ではPマークより自由度が高いです。

社内でのマネジメントシステムの構築といった点では
PマークもISMSも同様に進めていくことが出来ますが
最終的に認証を取得する時に審査を受ける必要があります。

この審査もPマークとISMSで毛色が結構異なります。
また、Pマークの審査機関の中には「ISMSとPマークは違う。
よって、同一のルールにするのは認めない」と1つのマネジメントシステムで
両方の規格に対応することを否定するところもあります。

同一のルールでISMSとPマークを運用するケースでも
Pマークを取得した後にISMSを取得する場合は、文書類はかなりの確立で
1から作り直した方が早いケースが多くなります。
ISMSを取得した後にPマークを取得する場合は、文書類の修正が比較的少なくても
対応が可能です。

取引先から「Pマークを取得しなさい」と言われている場合は
別ですが、そういった制約がない場合はISMSの取得とPマークの取得は
自社の業務形態を考慮して決定するのが良いです。

「うちの会社はPマークとISMSのどちらが適しているのか？」という
ご相談も随時受け付けておりますのでお気軽のお問合せ下さい。

コンサルタントが訪問させて頂いて、お話を聞かせて頂いて
1社1社ごとに適したご提案をさせて頂きます。

新幹線のホームですが人が多いです！明らかな新社会人軍団の群れが(^_^;) 朝からウッセー。一緒の車両にはなりたくないです。 (@ JR 新大阪駅 25-26番線ホーム w/ 2 others) http://t.co/6uKltxGz

posted at 08:43:28

JR様が田町駅で時間調整のため三分間止まります。とアナウンスされた。お陰様で乗り換え失敗(T ^ T) (@ モノレール 浜松町駅 (Monorail Hamamatsucho Sta.)) http://t.co/1bYHNPRN

posted at 16:40:37

言わば、ISMS取得プロジェクトを進めていくメンバーの選定です。

ISMSはマネジメントシステムですので、やはり経営層が加わるのが望ましいですがそれが必須ではありません。

経営層は英訳では「Top Management」となっています。

ISMSでは部署別の取得も可能ですので、その場合はTop Managementは部長でも大丈夫です。

ISMS推進体制として多いのはISMSを推進していく責任者を1人任命して
その責任者の補助として事務局が付くパターンです。

そして、ISMS構築を進めていく上でリスクの分析などを行っていくので
それぞれの業務を理解しているメンバーが加わって委員会を作って
責任者と一緒になってプロジェクトを進めていくパターンが多いです。

また、ISMSの中で必要になってくる内部監査の責任者を任命している会社も多いです。
ただ、内部監査の責任者の任命は必須ではありません。

個人情報保護マネジメントシステムであるPマークでは内部監査の責任者の任命は必須ですが、ISMSでは必須ではありません。

ISMS取得に関して言えば、推進の責任者が主管して内部監査を実施してもOKです。

Pマークを既に取得していてISMSを新たに取得していく会社で
PマークとISMSを統合する場合は、Pマークにも対応するために
推進の責任者と別に内部監査の責任者を任命する必要があります。

このようにISMSとPマークでは体制についても規格で求められていることは異なります。

僕もAndroidは指パスワードです。 @ 5点と4本の線で作る「Androidの指パスワード」強化法 (via @ReadItLater) http://t.co/0Cper0n9

posted at 13:11:31

今までは、ユーザ管理とかを特に行う訳でなくクライアントPC単位でユーザを作って簡単なファイルサーバでみんなが全て共有できるようにしていたという会社がActiveDirectoryを構築して、ファイルサーバも部署や職位でアクセス権を設定していくパターンなどが比較的多く出会うケースです。

ISMS取得を機に社内システムやネットワークを整備するのは非常に素晴らしいことですしタイミング的にも非常に良いと思います。

ただ、中にはより完璧な（？）システム管理を目指して、それが「出来上がってから」でないとISMS取得に踏み切らない会社も存在します。

もちろん、社内システムを一新して「これでどうだ」と整えてからISMSを取得するのも悪くはないと思いますが、そういった会社が陥る悪いパターンとして「システムが出来上がるまで」というのがいつまで経っても実現しない時があります。

明確に時期を決めて、「この時までにシステム整備をする」と決めている場合は良いのですが「システム環境が整ってから」といしているとダラダラと長引くケースが多いように思います。

ISMSは、システム整備の「途中でも」取得することは可能です。

例えば、システムの整備として1から10のことまでを実施したいと考えていて、現状では1から5までしか実現できていない。今後数年かけて10まで実施する予定ですといった場合に、5までしか実現できていない段階でもISMSの取得は可能です。

ISMSは、「Information Security Management System」という名前が示すようにマネジメントシステムですので、システム整備もISMSのPDCAの1つのP(Plan)としていけば良いのです。

ISMSを取得するのがゴールではなく、そこからの本当のスタートです。

100%を待ってからスタートするのでなく、出来るだけ早くスタートを切るのも組織の成長の為には有効だと思います。

おはようございます。今日は今から東京へ移動です。朝早くは眠いでーす(｡-_-｡) (@ 心斎橋橋駅) http://t.co/hUqMusHm

posted at 06:22:04