あなたを守る情報管理!情報セキュリティとリスクのマネジメント http://ismsfun.seesaa.net/ 実践ISMS・PMS! 情報セキュリティとリスクのマネジメント情報漏えい、コンピュータ停止など、リスクに対するマネジメント実践法を、他社や他人の事件事故の事例を参考にして具体的に学びます。 ja http://ismsfun.seesaa.net/article/112475124.html 戦略的なPDCAを構築支援します 戦略的なPDCAせっかく構築したPDCA体制も、激変する事業環境の中では、事業戦略とともに、タイムリーなリスクマネジメント体制と実践の見直しが必要です。S-PDCAは、PDCAの実践を支援する戦略サイクルを提案します。まず、最初のシリーズでは、情報セキュリティ戦略を提案します。 S-PDCA riskfun 2015-01-11T21:57:44+09:00 戦略的なPDCA
せっかく構築したPDCA体制も、激変する事業環境の中では、事業戦略とともに、タイムリーなリスクマネジメント体制と実践の見直しが必要です。
S-PDCAは、PDCAの実践を支援する戦略サイクルを提案します。
まず、最初のシリーズでは、情報セキュリティ戦略を提案します。 ]]> http://ismsfun.seesaa.net/article/131571435.html ウイルス感染経路のトップは、 これまでウイルス感染経路のトップは、「インターネット経由」でした。1)メールに添付されているファイルが感染していた2)ダウンロードされるファイルが感染していた3)広告やセキュリティパッチを装ってダウンロードされる4)サイトにアクセスするだけで感染する悪意のサイトなどが主な原因でした。それが、2008年には、「外部媒体・持込PC」が全体の40.9%と急上昇し1位になったという報告がある。歴史は繰り返すで、昔はフロッピーディスクやCD今は、どこでも使えるUSBメモリ、外部者の持ち... リスクの種類と事例 riskfun 2009-10-30T12:55:42+09:00
「インターネット経由」でした。

1)メールに添付されているファイルが感染していた
2)ダウンロードされるファイルが感染していた
3)広告やセキュリティパッチを装ってダウンロードされる
4)サイトにアクセスするだけで感染する悪意のサイト
などが主な原因でした。

それが、2008年には、

「外部媒体・持込PC」が全体の40.9%

と急上昇し1位になったという報告がある。


歴史は繰り返すで、

昔はフロッピーディスクやCD

今は、
どこでも使えるUSBメモリ、外部者の持ち込みPC
が、
ウイルス感染源として、再び、登場。

取引先とのUSBメモリ、CD、DVDのやり取りは、
またファイルの相互交換は、今後も増えるでしょう。

いよいよ、
自社が頑張っても限界があり、
取引先全体での安全対応が必要な時代になりました。

以上  ]]> http://ismsfun.seesaa.net/article/130821492.html 新型かなと思ったら 大手企業の対策は大分進んできました。多くのビルで消毒スプレ、マスクなどが常備されています。しかし、体調を崩すのは個人ですので、個人ひとりひとりが体調管理を怠らないこと、一定の重要な情報を確認して判断できるようにすることが必要です。1.毎日、朝晩の温度差が激しい時期の症状 乾燥しているとどうしてもせき込んでしまいます。 厚生労働省が示す症状による新型の判断基準は、 http://www.mhlw.go.jp/bunya/kenkou/kekkaku-kansenshou04/i... 新型インフルエンザ riskfun 2009-10-21T09:27:43+09:00 多くのビルで消毒スプレ、マスクなどが常備されています。

しかし、体調を崩すのは個人ですので、
個人ひとりひとりが体調管理を怠らないこと、
一定の重要な情報を確認して判断できるようにすることが必要です。

1.毎日、朝晩の温度差が激しい時期の症状

 乾燥しているとどうしてもせき込んでしまいます。

 厚生労働省が示す症状による新型の判断基準は、
 http://www.mhlw.go.jp/bunya/kenkou/kekkaku-kansenshou04/inful_what.html

小児
・呼吸が速い、息苦しそうにしている
・顔色が悪い(土気色、青白いなど)
・嘔吐や下痢がつづいている
・落着きがない、遊ばない、反応が鈍い
・症状が長引いていて悪化してきた

大人
・呼吸困難または息切れがある
・胸の痛みがつづいている
・嘔吐や下痢がつづいている
・3日以上、発熱が続いている
・症状が長引いていて悪化してきた


のような症状があるときは、すぐに医療機関を受診する。

2.相談先は確認していますか

 都道府県による新型インフルエンザ相談窓口
 http://www.mhlw.go.jp/kinkyu/kenkou/influenza/090430-02.html

*感染した可能性がある方で発熱や咳の症状があるかたは、直接医療機関を受診せず、上記のリンク先を参照し、各保健所等に設置された発熱相談センターにご相談ください。


この春は、外国との関係のある、または地域が限定されていたのですが、これだけ感染者が増えてくると、身近な課題になってきました。 ]]> http://match.seesaa.jp/ot_listing.pl?aid=336273&sid=ismsfun&tid=seesaa_hotspot&k=%E3%82%AE%E3%83%8D&hid=35 [PR]注目のキーワード「ギネ」 女たち ギネ | 産婦人科 ギネ | ドラマ ギネ | dog ギネ | ring ギネ ]]> 2009-10-21T09:27:43+09:00 ads by Seesaa http://ismsfun.seesaa.net/article/130078200.html 経産省の個人情報保護ガイドライン改訂 経済産業分野における個人情報保護ガイドラインが、改正されました。今回の主な改訂は、次のような実務的な内容です。1)漏えい等をした場合の主務大臣等への報告について、ファクシミリやメールの誤送信の場合には、月に一回ごとにまとめて実施することができる2)「事業承継」の場合、情報を提供できる場合のルールを明示3) 企業のポイント情報など、「共同利用」する場合の具体策このガイドラインの改正は、10月9日公示されました。http://www.meti.go.jp/policy/it_po... 規範・ガイド riskfun 2009-10-12T08:33:23+09:00
今回の主な改訂は、次のような実務的な内容です。
1)漏えい等をした場合の主務大臣等への報告について、ファクシミリやメールの誤送信の場合には、月に一回ごとにまとめて実施することができる

2)「事業承継」の場合、情報を提供できる場合のルールを明示

3) 企業のポイント情報など、「共同利用」する場合の具体策


このガイドラインの改正は、10月9日公示されました。

http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm ]]> http://ismsfun.seesaa.net/article/129630306.html 新型インフルと在宅勤務 新型インフルエンザの本格感染期を迎え、多くの企業では、事業継続計画の策定に悩んでおられる方も多いでしょう。本社事業所が感染者の発生により、閉鎖せざるをえなくなる場合、顧客サポートをどのように継続するかが課題です。その解決策には、1.代替要員の確保2.代替勤務場所、設備の確保3.在宅勤務急に代替要員を確保したとしても、経験や知識なしで交代できる程、多くの業務は簡単ではない。その解決策のひとつ、在宅勤務という選択肢は、これから脚光を浴びるテーマです。次のNECの先行実験は参考にな... 新型インフルエンザ riskfun 2009-10-06T15:17:06+09:00 事業継続計画の策定に悩んでおられる方も多いでしょう。

本社事業所が感染者の発生により、
閉鎖
せざるをえなくなる場合、

顧客サポートをどのように継続するかが課題です。

その解決策には、
1.代替要員の確保
2.代替勤務場所、設備の確保
3.在宅勤務

急に代替要員を確保したとしても、
経験や知識なしで交代できる程、
多くの業務は簡単ではない。

その解決策のひとつ、在宅勤務という選択肢は、
これから脚光を浴びるテーマです。

次のNECの先行実験は参考になるかと思います。
http://journal.mycom.co.jp/articles/2008/07/28/zaitaku/001.html



情報を安全に扱うインフラ整備が前提です。

]]> http://match.seesaa.jp/ot_listing.pl?aid=336273&sid=ismsfun&tid=seesaa_hotspot&k=%E3%81%95%E3%81%8F%E3%82%89%E3%81%94%E9%A3%AF&hid=35 [PR]注目のキーワード「さくらご飯」 さくら棒 さくらご飯 | ご飯 | 醤油 さくらご飯 | 給食 さくらご飯 | 静岡県 さくらご飯 ]]> 2009-10-06T15:17:06+09:00 ads by Seesaa http://ismsfun.seesaa.net/article/129165669.html 企業の銀行取引が狙われる 御用心、企業の銀行取引が狙われる「Man in the browser攻撃(MITB攻撃)」という手口の企業を標的とした犯罪が増加しているようです。ITmedia記事のリンク: こっそりと送金先を変えるオンラインバンキング犯罪に注意 - 速報:@niftyニュース. サイバーテロ riskfun 2009-09-30T09:22:04+09:00
「Man in the browser攻撃(MITB攻撃)」という手口の企業を標的とした犯罪が増加しているようです。

ITmedia記事のリンク: こっそりと送金先を変えるオンラインバンキング犯罪に注意 - 速報:@niftyニュース. ]]> http://ismsfun.seesaa.net/article/131004135.html 情報システムの信頼性向上に関する評価指標第1版 経産省が春からとりまとめを進めてきた「情報システムの信頼性向上に関する評価指標第1版」は、パブコメ結果を公表しています。情報システム利用者(ユーザ側)と情報システム供給者(ベンダ企業)が、当該ガイドラインの遵守度合いをそれぞれ測ることを可能とする評価指標ということですが、後になって見解の相違や誤解などとならないよう、発注前から、設計前からの活用を期待したいものです。経済産業省のサイトからダウンロードできます。・2009.09.04 「情報システムの信頼性向上に関する評価指標(... 規範・ガイド riskfun 2009-09-05T00:00:00+09:00
情報システム利用者(ユーザ側)と情報システム供給者(ベンダ企業)が、当該ガイドラインの遵守度合いをそれぞれ測ることを可能とする評価指標ということですが、後になって見解の相違や誤解などとならないよう、発注前から、設計前からの活用を期待したいものです。

経済産業省のサイトからダウンロードできます。
・2009.09.04 「情報システムの信頼性向上に関する評価指標(第1版)

・「情報システムの信頼性向上に関する評価指標(第1版)」の公表
・資料_情報システムの信頼性向上に関する評価指標第1版(概要説明)
・資料_情報システムの信頼性向上に関する評価指標第1版

について資料が公開されています。 ]]> http://ismsfun.seesaa.net/article/126798834.html 新型インフルエンザへの備え 新型インフルエンザの流行について、家庭だけでなく事業継続の立場からも、備えがあれば、憂いはないとはいえなくても、少なくなります。学校の新学期を迎え、当初秋口と予想された新型インフルエンザへの感染流行は、より早い時期になると報道されています。すでに多くの施設、事業所では、入り口に消毒用のスプレー液が用意されています。本格的に流行し始めたら、高熱やセキなどの自覚症状がある場合には、どのように行動するのか調査し考えておくことが自己防衛、感染拡大防止の一歩です。では、1)地元、近所の... S-PDCA riskfun 2009-08-30T08:43:23+09:00 家庭だけでなく事業継続の立場からも、
備えがあれば、憂いはないとはいえなくても、少なくなります。

学校の新学期を迎え、当初秋口と予想された新型インフルエンザへの感染流行は、より早い時期になると報道されています。
すでに多くの施設、事業所では、入り口に消毒用のスプレー液が用意されています。
本格的に流行し始めたら、高熱やセキなどの自覚症状がある場合には、どのように行動するのか調査し考えておくことが自己防衛、感染拡大防止の一歩です。

では、
1)地元、近所の医療機関への相談、受診方法
2)勤務先や学校への連絡方法(昼、夜、休日)、タイミング
3)移動を控える時期
4)マスクや消毒薬、飲料・保存食などの備蓄
5)一人暮らしの場合
など、家族で話し合いは済んでいるでしょうか。

職場では、社員や顧客に感染が疑われる場合、連絡を受けた場合、
業務への影響(防止)をどのように判断するのでしょうか。

政府の報道は、相変わらず「冷静な行動」としか指導しないので、自分にとっての行動には何が必要か、居住地の市町村役所や保健所、国立感染症研究所の感染症情報センターの公開情報などを見て確認しておくとよいでしょう。
]]> http://ismsfun.seesaa.net/article/126189448.html IT統制2年目にむけての提言 日本システム監査人協会の第149回月例研究会の案内です。「内部統制報告制度におけるIT統制の評価・監査を終えて~IT統制の1年目の総括と、2年目に向けた経営者、そして外部監査人に向けての提言~」のご案内 8月の月例研究会は1年目を終えた内部統制報告制度をテーマに、1年目の総括と2年目に向けた提言を、あずさ監査法人IT監査部パートナーの遠藤誠氏にご講演頂きます。講演の骨子1. 本制度におけるIT統制の位置づけ2. 1年目を終えて、何を学んだのか (経営者評価および外部監査人の... 経営者の役割と責任 riskfun 2009-08-21T21:29:09+09:00
「内部統制報告制度におけるIT統制の評価・監査を終えて
~IT統制の1年目の総括と、2年目に向けた経営者、そして外部監査人に向けての提言~」のご案内

 8月の月例研究会は1年目を終えた内部統制報告制度をテーマに、1年目の総括と2年目に向けた提言を、あずさ監査法人IT監査部パートナーの遠藤誠氏にご講演頂きます。

講演の骨子
1. 本制度におけるIT統制の位置づけ
2. 1年目を終えて、何を学んだのか
  (経営者評価および外部監査人の視点から)
3. 2年目を向けての提案(経営者評価および外部監査人の視点から)

あずさ監査法人でJ-SOXの、特にIT統制監査を主導されてきた遠藤氏から、そのご経験を通し1年目の総括と2年目に向けた提言を具体的にお話し頂きます。

今月も多くの皆様のご参加をお待ちしています。

1.テーマ
「内部統制報告制度におけるIT統制の評価・監査を終えて
~IT統制の1年目の総括と、2年目に向けた経営者、そして外部監査人に向けての提言~」

2. 日時  2009年8月31日(月) 18時30分~20時30分
3. 場所  御茶ノ水 総評会館
     千代田区 神田駿河台 3-2-11 電話:03-3253-1771(代)
     → 総評会館の地図はこちら 
      (地下鉄千代田線 新御茶ノ水 B3直結、または
       JR御茶ノ水駅 聖橋出口5分)
4. 講師  あずさ監査法人 IT監査部パートナー 
日本システム監査人協会理事  遠藤 誠 氏
5. 会 費  SAAJ会員 2,000円 非会員 3,000円
6. 参加申込 当協会のHP(http://www.saaj.or.jp/)から
      2009年8月27日(木)までにお申込み下さい。
]]> http://ismsfun.seesaa.net/article/126068230.html 携帯電話の利用拡大と安全確保 携帯電話機器は、国内で1億台以上が登録され、すでに飽和状態になっています。その利用状況は、単に、通話と携帯メールから、携帯用Webサイトを閲覧する、という利用に急速に拡大しています。 携帯セキュリティ riskfun 2009-08-20T05:57:34+09:00 携帯用Webサイトを閲覧する、という利用に急速に拡大しています。
そこに利用者がいると、PC広告がたどったのと同じように、
携帯利用者むけの広告需要が増えていきます。

多くのPC専用サイトが構築されます。

今のうちに、安全性についてしっかり基盤を構築しておく必要があります。

次は、携帯電話用のサイト構築のツールや情報を提供するサイトです。

1.こびっと(無料紹介、会員制)

2.携帯アフィリエイト協会(会員制)
3.モバイルジャイアント(ツール、有料)
4.携山(ツール、有料)

今回は、この中で最も公開された情報の多い、
こびっと」について紹介します。

こびっと」は、すでに会員数1万人を超える利用者、登録者を有する組織です。
提供するツールも「こびっと」といい、特定のキーワードを投入すると、そのキーワードに関係するサイトを自動的に抽出して、アクセスを紹介すると紹介コミッションがもらえるという機能を設定するものです。

ネット上の広告として有名なアドセンスを携帯版に応用したものと考えると、理解しやすいでしょうか。
私は、携帯のあの小さい画面に宣伝広告が表示されることを好みません。チカチカするのも、見たくありません。

しかし、そこに悪意の情報収集や攻撃が潜むようになるとすれば、見過ごすわけにはいきません。

この携帯アドセンスや楽天、アマゾン、A8などの広告紹介を利用して、月100万円以上も収入を得ている人もいるようです。

すると、やはり安全なサイト作りやサイト運用についての情報が必要です。
携帯アフィリエイトの状況を体感したい方は、
こびっと」より、無料ツールをダウンロードして、試すことができます。
]]> http://ismsfun.seesaa.net/article/126041681.html 携帯サイトのセキュリティ 携帯サイトを簡単に構築できるツールが提供されています。携帯アフィリエイト・アドセンス収入獲得講座 | IRCモバイル無料塾公式ブログ 携帯セキュリティ riskfun 2009-08-19T19:47:57+09:00
携帯アフィリエイト・アドセンス収入獲得講座 | IRCモバイル無料塾公式ブログ
これからブームになりそうですが、携帯サイトのセキュリティは、
これがからの課題です。

携帯の威力は、
いきなり、1-to-1が実現できることです。
マーケティングでは、魅力的でも、
セキュリティでは、脅威です。

次のサイトは、管理人も利用しているツール(こびっと)を、
無料で利用できるサイトです。
携帯アフィリエイト・アドセンス収入獲得講座 | IRCモバイル無料塾公式ブログ

本サイトでも、携帯セキュリティについて紹介していきます。

]]> http://ismsfun.seesaa.net/article/124660052.html 今日はシステム管理者の日 今日(7月31日)は、システム管理者の記念日です。正確には、毎年、7月最終の金曜日なので、今年は7月31日なのです。そんな日は聞いたことも無い、という方も多いでしょう。システム管理者の日は、 S-PDCA riskfun 2009-07-31T08:21:37+09:00 正確には、毎年、7月最終の金曜日なので、今年は7月31日なのです。そんな日は聞いたことも無い、という方も多いでしょう。

システム管理者の日は、
「System Administrator Appreciation Day(以下,SysAdmin Day)」
と呼ばれていて、米国で始まったこの「SysAdmin Day」は、10年の歴史があるようです。

日経ITproの記事にも紹介されていますが、システム管理に限らず、IT関係の運用やセキュリティを担当する仕事は、クレームは着ても感謝されることはない。利用者から見ると、正常に稼動していることが当たり前だからです。

その「当たり前」の状態を維持するために、システム管理者は日夜を問わず、じっと裏方の仕事で頑張っている。ハード故障などの障害が発生すると直ちに対応を判断して、修理交換の手配や運用サービス状況の連絡・報告など、手順にそって迅速に処理する。そういう地道な仕事に感謝する日なのです。

マネジメントシステムの仕組みは、そのような舞台裏の活動に支えられています。インフラだから当然として片付ける前に、インフラを支える部分にも、年に一回くらいは感謝の気持ちを表そうではありませんか。

こうやって、サイトの記事やメールで情報交換できるのも、システム管理者を始めとする裏方の活動の成果なのです。
PDCAでは主として実施運用の「Do」に分類されますが、その活動内容は、PDCA全体に関係する結果や改善を必要とする事項の発生源を管理する役割を担います。

システム管理者に「今日一日が正常に業務できるよう、感謝の気持ちをあらわす記念日」として、またシステム管理者側は、「利用者の期待に応え、これから1年の毎日が正常サービスを継続できるよう確認する祈念日」として、互いのコミュニケーションを図りませんか。
]]> http://ismsfun.seesaa.net/article/122873802.html 歓作の盛り上がり 先月、紹介させていただいた歓作人は、実は1年ほど前に、新しいタイプの監査人として、発想転換、行動転換のすすめとして話をさせて頂いたものです。日本システム監査人協会が開催した「CSAフォーラム」で発表させていただきました。その後、自分自身は、率先実践して、企業経営者が関心を持っていただくように業績向上の成果を示そうと、事例集めのための行動転換をしています。どちらかというと、暗いイメージ固いイメージ問題が発生したあとの、後始末というイメージの強い監査をもっと積極的で、もっと前向き... 監査と歓作 riskfun 2009-07-05T21:39:38+09:00 実は1年ほど前に、新しいタイプの監査人として、
発想転換、行動転換のすすめとして話をさせて頂いたものです。

日本システム監査人協会が開催した
「CSAフォーラム」で発表させていただきました。

その後、
自分自身は、率先実践して、
企業経営者が関心を持っていただくように業績向上の成果を
示そうと、事例集めのための行動転換をしています。


どちらかというと、
暗いイメージ
固いイメージ
問題が発生したあとの、後始末
というイメージの強い監査を

もっと積極的で、
もっと前向き(先手必勝)で、
定期的に時代にあわなくなりそうな部分を監査して構造転換する
(がんの早期発見、健康診断のイメージ)
に切り替えたいと期待しています。
従来と同じ考え方では、前向きの発想に至らないからです。
今の状況は、これまでの考え方の結果です。
今業績が悪い、思うような結果が出せていないのは、
発想が後ろ向きだからです。
(マイナスのリスクばかり考えているから、
 プラスのリスクであるチャンスに気づかず、
 実は、マイナスばかりが目に付くので、マイナスを拾っている)

監査人も、大胆に行動を転換して、
歓作人型の監査を提案しています。

これまでと同じやり方では、前向きの行動に至らないからです。
今の状況は、これまでの行動の結果です。

今年は、少しは金持ち監査人になる方法を提案しています。

なぜなら、これまでと同じ考え方・やり方では、
前向きの発想と行動に至らないからです。
今の状況は、これまでの考え方と行動の結果です。
(できなかった、やらなかった行動は、
 できない、やらないという判断の結果です。)

監査人自身が、自分で実践した結果、
少しは経済的にも豊かになると、信頼性も増すでしょう。

監査の基本は、客観性ですが、
業績を伸ばす監査に必要な要素としては、
実際に、成長戦略、業績急拡大を経験した監査人のほうが、
より業績改善につながる指摘ができると思うのですが。

長期的に見て、
どちらが企業経営にプラスの成果をもたらすでしょうか。

監査という観察力を、
プラスに活用するか、
マイナスに活用するか、
両方が必要なのですが、比重のかけ方を調整すると、
もっと成果に結びつく監査ができます。

そのような監査をめざし、実践しています。
]]> http://ismsfun.seesaa.net/article/122872464.html プラス監査の考え方 先日、喜びを作る監査人(歓作人)の話をさせて頂きました。まだ一部の方ですが、すごく好評です。なぜかというと、 監査と歓作 riskfun 2009-06-05T21:17:39+09:00 まだ一部の方ですが、すごく好評です。

なぜかというと、

監査人のイメージはしかめっ面をして、
いつも渋い顔をしている方が多い。

そのような雰囲気では、
なかなか都合の悪う資料は出しにくい、
嵐の去るのを待ちたい、という気持ちになる、というのです。

でも、
監査人が、喜びを作ってくれる歓作人なら、
都合の悪い情報もさらけ出して、どうすれば改善できるか、
一緒に考えてもらえるので、うれしい。

あなたはどちらのタイプでしょうか。
長期的に見て、
どちらが企業経営にプラスの成果をもたらすでしょうか。

ISOの監査(品質マネジメントシステムや環境マネジメントシステム、情報セキュリティマネジメントシステム)では、

Good Point

という評価基準が用意されています。

実際に監査報告書には、指摘事項とともに、
他社の模範となるようなグッドポイント(がある場合)を報告します。

これは、同じような考え方ですが、
歓びの達成状況を監査する歓査は、
もっとGoodPointが多い評価をします。

つまり、
GoodPointの達成状況
GoodPointをより確実に維持達成する
GoodPointをよりレベルの高いGoodPointにする
そのための状況評価をする訳です。

このための理論的枠組みとして、
コーチング技術
目標達成の価格
スピードコーチング
などを学び、実践しながら
個人の心理面、動機づけ、
組織の活性化について研修を重ねています。


毎日のように、
ダメダダメダといわれるよりは、

大分良くなった、でももっとよくするにはxxしたほうがいい

とアドバイスされるほうが、
目標達成の意欲だけでなく効率が高まると思いませんか。

プラス監査
というのは、
このようなグッドポイントをより高めることにより、
個人や企業の目標達成を支援する活動です。

グッドポイント監査のほうがわかりやすいかな。

(2009.10.22一部加筆) ]]> http://ismsfun.seesaa.net/article/120416448.html 監査人と歓作人 監査をする人を監査人といいます。もともと、当事者ではない第三者が、独立、客観的な立場で、判断の元となる基準(監査基準)に対して、評価することが監査(Audit)です。 監査と歓作 riskfun 2009-05-24T09:45:44+09:00
もともと、当事者ではない第三者が、
独立、客観的な立場で、
判断の元となる基準(監査基準)に対して、
評価することが監査(Audit)です。
したがって、
Auditの意味を考えると、
他の人の目で見る、
第三者評価という意味が含まれています。

Auditを漢字にあてはめると、
監査という固いイメージのする単語が使用されていますが、
本来は、自己評価ではなく、他人の評価なのです。

自己評価ではないので、
お手盛り評価や自画自賛ではなく、
他人も認めた評価として、価値が高まります。

しかし、
セキュリティ監査では、、
過去に発生した事実を
「不具合が発生した」
「発生した不具合に適切に対処できず、損害が拡大」
「違反が発生して、情報漏えいの原因となった」
というよに、事実を確認する場合が多いのです。

これを、
「不具合が発生することを防止した」
「不具合に適切に対処したので、最小限の被害ですんだ」
「違反を検知して遮断し、情報漏えいを防いだ」
というより積極的な行動に換えることはできないでしょうか。

被害が大きくならずにすむのであれば、
その作業が簡単にできることであれば、
経営者も担当者も喜んで、ルールを受け入れ、
そのルールを実践します。

これからのセキュリティルールには、
関係者を歓びつくりの活動に巻き込む、このような視点が大切です。

歓作をする人を、歓作人と呼んでいます。 ]]>