掲示板お問い合わせランダムジャンプ

Google広告

2011年07月31日
組織を再編したら不適合にされてしまった?

組織を再編したら不適合にされてしまった?

この手の話は何度も出てくる。

ある企業の某事業所で、既存の部門からメンバーを募ってプロジェクトを立ち上げた。そのプロジェクトは新たな一つの部門として位置づけた。外部(関連会社)からもメンバーを入れた。

それが審査の直前に実施された。審査より事業優先。当然ですね。

歳は取っているが審査員では青二才の爺がやってきて、新組織として内部監査は実施したかと聞く。適用範囲は全社だから、組織変更前の部門では内部監査は当然済ましている。しかし、新部門としては内部監査は実施していない。リスクアセスメントの切り分けなどもまだ途中だ。

すると、この青二才は何を言い始めたか。新たな部門の拡大だから、今回の審査の範囲に含めることは出来ない。無理に適用範囲に入れると言うなら、不適合を出しますよ。とやった。

話の筋が悪い。組織の再編自体が適用範囲に含む含まないの問題は有り得ない。既存の適用範囲と比べて何が違うかを基本的に見てみる必要がある。サイト(端的に言えば住所)が追加されているかどうか。これは問題ない。同じ事業所ビル内だから。事業上の特徴の変化点の有無。新しいプロジェクトが従来のスコープ(事業概要)の範疇に収まるかどうか。これが全く新しい事業エリアでセキュリティ上の特徴も異なってくる場合は拡大審査が必要になる。既存事業と同列で新たなセキュリティの側面が加わらなければ適用範囲の変化なしと判断できる。

事業の変遷、組織の変遷は小規模なものはどの企業でもどの組織でも日常茶飯事。その都度、審査でもあるまい。全くひどい話になった。組織のトップは納得していないが審査員と争う無謀は避けたいのか黙って幕を下ろしたらしい。

組織の事業戦略の一環として組織再編などはいつでも自由に出来る経営者のフリーハンド領域のもの。それが本来。審査が事業戦略に優先していいはずもないし、新組織の内部監査が遅れているからといっていきなり不適合と言う話にはならない。もっとも、組織変更後何日以内と決め事があれば別だが。

<何が問題か>

何をもって適用範囲の拡大としたのかが不明確。特にセキュリティの側面で何が新たに留意されなければいけないのか。このことが審査員から説明されていない。
新規の部門も適用範囲に含めると言うなら不適合を出しますよと迫った審査員の態度。客観的に事実に基づく態度ではない。加えて、不適合出しますよって不適合出すことは伝家の宝刀なの?。日ごろの審査態度が窺い知れて嫌だね。
最大の問題は、全社が適合範囲だったものに、適用範囲外の穴が開いてしまったこと。ある意味、由々しきことです。審査の事前言うべき内容に該当していたのかどうかも怪しい。クライアントが100%責めを負う状況でもなさそうだ。


兎にも角にも。新部署が適用範囲から締め出されたことは最低最悪の判断。審査事故レベルらしい。

大人の知恵が何処かで働いたのか、何事も無く時が過ぎているようだ。目出度し目出度し。

.*.
[ 投稿者:ISMSNEWS at 20:54 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

審査の日は道路のごみ掃除まで?
審査の日は道路のごみ掃除まで?

いやはや徹底している。無様なことは絶対にしないぞとばかりに、審査の日は会社の入り口まで歩いてくる道の周辺はごみ一つ落ちていないようにせよ!とのお達し。全員、1時間前に出社して文字通り会社の内外の最後の掃除。

コンサルではこのようには行かない。緊張感もみなぎってくる。

書類は全てバインダー&ボックスに入れて会議室の壁際に並べられる。資料を求められたら間髪おかず提示できるように並べ方まで予め決めてある。

kここまで来るとコンサルは殆ど出番が無い。何せ責任者の役割は持っていないから。純粋にコンサルとして同席することになる。
[ 投稿者:ISMSNEWS at 20:53 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2011年07月29日
審査をうまく進めるポイントは「お茶と弁当」?
審査をうまく進めるポイントは「お茶と弁当」?

お茶は自販機、お昼は好きなお店でどうぞ。なんてやると、審査員は気合が入る。気配りも何もない会社は”どうせ”問題が転がっているものだ。

かと言って女子社員とかケータリングサービスでお茶だコーヒーだと次々とサービスするのは、煩雑で嫌がられる。お茶をこぼしたりすることもあるから尚更だ。

料亭を予約しての大げさなランチに同行するのも嫌がられる。時間が浪費される。審査員は忙しい。

一番好まれるのは、ペットボトルでの給茶。朝1本渡して少なくとも午前中は済ます。午後又1本で十分でしょう。お昼は弁当。時間の無駄が無いので歓迎される。しかし、安い弁当は揚げ物ばかりで塩分が濃いだけでNG。量は多くないけどクオリティは高い、そういう弁当が好まれる。食事だけ同席して雑談。食事が終わったらさっと引き上げるのが良い。ということらしい。

.*.
[ 投稿者:ISMSNEWS at 14:07 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

笑える初心者コンサルの情報資産価値2
笑える初心者コンサルの情報資産価値2

資産価値が高い:3
資産価値が低い:1
資産価値は中間:2

機密性1なら誰に見られての構わないもの。
完全性1なら破れても改ざんされても構わないもの。
可用性1なら取り出せなくても構わないもの。

では、C:I:A=1:1:1のものは何でしょう? 3つの側面で価値が最低のものですから、例えば、新聞に挟み込んで届けられ、まったく関心が無くてゴミ箱に直行したような類の普通の紙ごみがCIAオール1に相当しそうです。

重要な情報資産をリストすることをやっている筈なのに1:1:1の資産が入り込んでしまう。何かの勘違いでしょう。

ところが、そのコンサルが言ったのは、「ここではごみもリストするんです」だって。ご勝手にどうぞと言うことらしいが、これ審査員の作り話かも。究極の資産価値1:1:1は、内部監査で出掛けたり短期コンサルで出掛けたりしても、結構目に付くらしい。

最初は誰でも初心者だからね。

.*.
[ 投稿者:ISMSNEWS at 14:06 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

日増しに元気なJQA
日増しに元気なJQA

JQAは日本品質協会のこと。

日増しに元気とは、ISMS全体としては既にピークになっているにも拘らずJQAだけは毎月のように審査実績を伸ばしている。もともとQMSは大きなカスタマーベースを持っていたのだから、トップに立とうとしていること自体はそんなに不自然」なことではない。

.*.

成功要因の1つは提携戦略。1人1人の契約審査員でなく、何人かの審査員を抱える審査集団(企業)と契約する形で、ピーク対応を図った。一定量の審査員を確保できないと、審査ニーズに対応できないのが、需要が一時期に集中するこの業界の常識で、JQAは管理コストを掛けないで提携で乗り切った。

文書審査を軽減させるためにはIT企業と文書審査用のITインフラを実現した。もっともアイデアはIT企業の提案らしい。他の審査機関が結論を先延ばししているうちにJQAはマンパワー平準化のツールと見て飛びついた訳だ。

工数さえ確保できれば、QMSのカスタマーベースを活用して一気に顧客拡大が図れる。QMSの審査にISMSの審査を重ねることは本来無謀なやり方だが、プロセスベース統合審査?というのかどうか、兎に角、他の審査機関がやり始めたから、理屈はさておいて、黙って流れに乗ればよかった。

JQAが最も恐れていたシナリオはISMSの特殊性を主張されて、特別な対応が必要になることだ。そうなると、既存のQMSのカスタマーベースをうまく活用できなくなる。ところが、無謀にも競合相手が統合審査を主張するのだから、話は簡単。自分のQMSのお客様に、次回はISMSも一緒にやりましょう、で済んでしまう。まあ、そんな極端は無いにしても大きな流れはそういうこと。

(1)工程能力の確保
(2)大きなカスタマーベース
(3)攻略シナリオの確立(統合審査?)

.*.

この辺は興味深いところだが、きな臭くもある。一人ひとりのコンサルや審査員は直接関係無いことだが、また彼らは会社の戦略を立てる訳でもないから関心はやや薄いようだが、自分の業界の浮き沈みを決める本当の要因はなかなか掴めないで居る。

.*.
[ 投稿者:ISMSNEWS at 14:05 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

日本情報経済社会推進協議会 JIPDEC
日本情報経済社会推進協議会 JIPDEC


ISMS適合性評価制度


http://www.isms.jipdec.or.jp/isms.html
[ 投稿者:ISMSNEWS at 14:02 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

納得と説得
納得と説得

営業の世界では常識的な話なのに。わざわざ、それを説明する人が居る。自己と他己。説得は他己で、納得は自己。

審査員の中には、クライアントが納得していない所見は書かないとする人が居る。規格と実態を説明して、相手が得心して初めて所見にするとか。得心・納得に至らなければ審査員としての力量が不足しているからとして口頭コメントで済ましてしまう。

こうした態度が正しいかどうか分からない。ひとつの見識であるかもしれない。

もっとも、説明(説得?)はエスカレーションして最後は経営者にまで行ってしまうので、担当者レベルと安易に妥協することにはならない。経営者の受容するリスクと言うことになるだろうか。

.*.

何を言っているのかわからない。

相手または自分が賢い人なら、納得も説得も同時実現的なもので問題ない。

愚かな場合は悲劇。説得できないし、納得できない。

納得が無ければ改善に繋がらないから無用な所見は入れない。

コンプライアンスはどうか。納得していなくても警察は捕まえに来るよ。

無理やり納得させられたと感じたら失敗だろうし。

.*.

一番大切なのは信頼関係ですね。コンサルでも審査員でも、事務局でも只の受信者でも。パートナーとしての信頼関係がないと何をやってもうまく行きません。
[ 投稿者:ISMSNEWS at 13:37 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

「友の会」って?第三者認証制度の正しい理解
「友の会」って?

審査機関単位に友の会が催される。やらないところもあるようだ。クライアントが居ないとやりようが無い。懇親会・交流会。審査機関とコンサルファームとクライアントと。どうすれば次の認証も通るのか。新しい条件は無いのか。この審査機関は何にこだわるのか。規格解釈。軽微と重大の境界線。不適合と観察事項の境界線。気になるところはあるから、お付き合いと情報収集のために誘われれば出掛ける。まあ、いい営業の場にされてしまうことは分かっているが。

次から次に規格を繰り出してくるのはやめて欲しいね。ISO認証なんて、どうせマネジメント枠組みに過ぎないのだから、そう色々規格を用意することは自己矛盾〜自己否定なのかと思う。

.*.

友の会なんて所詮癒着の場を醸成するものでしかないと言う声もある。第3者認証制度のなかで健全な癒着?を作り上げて円満に維持して行こうとするものかな。

.*.

.*.

<第三者認証制度をどのように理解するか>

審査はマネジメントの枠組みとその実施状況を見る。枠組みが機能しているかどうか。

経営者は、経営目標・事業目標を達成するための枠組みの一部としてISMSをとらえ、有用かどうかを判断する。有用性を否定できるなら止めればいいこと。ところが、その判断は感覚的、定性的でしかない。とても難しいことなのだ。経営目標を展開してセキュリティ目標にすることは。

(例)

「リピートユーザー」⇒「顧客信頼」⇒「セキュリティ安心感」

「コスト体質」⇒「セキュリティコスト見える化」⇒「ミニマム化」

この辺の情報交換の場になるのがベスト。枝葉末節に近い規格解釈とか管理上のノウハウとか事例紹介は月並みで、つまらない。本旨から外れていて馬鹿げていると思う向きもあるだろう。
[ 投稿者:ISMSNEWS at 12:20 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ISO第三者認証制度審査における付加価値とは?
ISO第三者認証制度審査における付加価値とは?

多くの審査機関では長年の間ずっと付加価値審査/付加価値サービスで他社との差別化を図ると言ってきた。でも、実際に何が付加価値審査なのか、付加価値サービスなのか、明確に記されたものは見たことが無い。考え方の相違だろうが、審査機関は恐れ多いことを平気で口にしているに過ぎない。付加価値などと言って、領域を踏み出すこと、あるいは、はみ出すこと自体が問題かと。

建設的とか、事業への貢献とか、改善につながることとか、やる気を醸成するとか、云々。もし、審査員がこの領域に踏み出してきたら、それこそ全く余計なお世話。そんな判断を審査員の分際で出来るものか。単なる自己満足に過ぎないでしょう。ビジネスアセスはこちらの仕事。だから、審査員は傲慢に見える。
[ 投稿者:ISMSNEWS at 12:18 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

付加価値審査?
付加価値審査?

相変わらず分かりにくい用語。リトマス試験紙なら赤か青。付加価値リトマス試験はどうなるのか。温度や濃度も調べるのか。余計なお世話でしょう。付加価値審査に否定的な考えの人も居る。規格どおりにやるのが審査。付加価値とする部分は返って審査を歪めるだけだと。

付加価値を理解するために、付加価値サービスと基本サービスを対比させる人もいるが、やはり分かりにくい。オプションなの?それも無料のオプション?付録?サービス品と同じ?クライアントのサプライズにつながれば儲けもの?

基本サービスは顧客の支払いへの対価として当然期待するもの。付加価値は当然の期待を超えるもの。

10年前か20年前にはこんな発想があったけど、今でも生きているのかな?

自分がクライアントなら付加価値の部分はどうでもいいから基本を徹底してやりきってくれと言うでしょうね。目先を変えることに情熱注ぐような愚かしいことはしないで、やるべきことをしっかり。

規格に対して何も足さないし何も引かないでやって欲しいね。

.*.
[ 投稿者:ISMSNEWS at 12:09 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

審査計画の提出時期
審査計画の提出時期

審査計画にも色々ある。

そもそもどの時期にやろうか、概ね何日掛かるのか。例えば、2月下旬に3日程度で済ませたい。トップの予定を確保するため、半年前くらいには決めてしまう。認証の期限の制約があるので、半年どころか、1年前から計画可能な日程となる。レベル1計画。

社内の年次イベントとの整合も既に終えている必要がある。

日程と受診部門を組み合わせた計画。部門の都合があるから調整に手間取る。1stドラフトは3ヶ月前には欲しい。確定まで最大1ヶ月。問題なければドラフトのまま即決定。

受診部門は、ISMSサイクルを意識してしっかりまわす。ミニマム2ヶ月。その時に、EXCISE(ごめんなさい)が出る可能性がある。調整が必要です。

枠の計画は大体3ヶ月前から。もっと早くても構わないが、多分、審査チームが確定していないでしょう。

枠が決まると、同時にファシリティの手当てが確定されるので、事務局は忙しい。ここでもEXCUSEの可能性がある。

.*.

トップ或いはセキュリティの責任者が強い会社ではこんな感じで進むが、事業優先・セキュリティは二の次の組織では、もっと複雑だ。

調整に手間取るだけでなく、途中からどんどん変更が入る。社外の組織とのやり取りだから過剰な変更は失礼なものだが、金を払っている自分たちはクライアントなんだという部分ばかりを意識すると悲惨な状況になる。

1)会社全体でISMSに取り組んでいない。
2)トップの関与が希薄。こういう会社は権限委譲も不明確なケースが多い。
3)事務局の力量が不足。順送りで担当するケースに多い。
4)全体に管理能力が低い。ベンチャー系では多い。
5)アンチISMSの存在。


大変なのは社内調整。事務局泣かせの部門は必ず1つや2つあるものだ。トップの意識によって反乱部門の数は変わる。ISOに懐疑的になれば調整は手間取る。

コンサルの苦労も同様だ。

.*.

トップにやる気が無いなら手を上げて欲しくない。担当としては正直そう思うね。トップと部門の間で非生産的な苦労をするだけ。事務局のお作りISMSが出来上がる。
[ 投稿者:ISMSNEWS at 11:35 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

審査員は謙虚か傲慢か?
審査員は謙虚か傲慢か?

審査員は謙虚であれ!と言うもののお目にかかるのは傲慢な審査員ばかり?

倫理的行動を審査員は求められる。公務員も似たような倫理規定を被る。どの企業に勤めていて同じようなものだが、フェアネスのためにはその意識を強くしないといけないと言うことなんだろう。

しかし、審査員は何かと言えばISOの規格を振りかざして、自分勝手に解釈して是正を要求してくる。嫌、別に振りかざす意図も無く、自分で信じるフェアネスで規格解釈をやっても、同じ理解に立てない傍からは傲慢な振る舞いに見える。だからこそ意識して謙虚であることを求めるわけだ。

.*.

しかし、本音で言えば、審査員は本当に傲慢だと思う。オフタイムでも(まあここはそうなんだが)、審査員と会話すればちょろちょろと傲慢が顔を出すので直ぐに分かる。どちらかと言えば、嫌いな人種だね。

一番嫌なところは、顧客とか他者の人に顔を向けたときは作ったように一見謙虚なマナーもしっかりした人に見えるが、時々は慇懃無礼。さらには、相手が利害関係がないと知ると傲慢そのもの。横柄。無茶も無理も通してくる。まさに手のひらを返すような変貌だ。こういう表裏の激しい人はまったく信用できない。

.*.

一般企業で平から管理職まで務めたことがある人が審査員になっている場合は横柄・傲慢が気になることは無い。割と少ない。

社会人経験もそこそこに若くして審査員になった連中は、殆どの場合、ずれた感覚の持ち主。本人はそれに気付かない。気付くことが本質的に出来ない。一般サラリーマン社会人の経験がないのだから。どちらかといえば、ある意味ではサラリーマンを途中を挫折した失敗者・失格者なのだから。

50歳前に会社組織を離れて審査員になった人は忌避したい。少なくともリーダーとか主任の役割は外したい。

彼らは、審査という場でのパフォーマンスは得意だが、共感できるものがない。言葉の表面的なところでは話は噛み合うように錯覚するが、サラリーマンの修羅場を逃げてしまった人だから、適当にあしらって帰って頂くのがお作法というものだろう。

.*.
[ 投稿者:ISMSNEWS at 11:05 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

JIPDECのロゴマークが変更された
JIPDECのロゴマークが変更された

只それだけのこと。JIPDECのロゴを使っているところでは徐々に変更しないといけない。移行期間は数年ある。直ぐに問題になることもなさそうだし、仮に移行が遅れても実害は無い。

.*.

厳格に対処するとなると、これはコンプライアンスの問題になります。ロゴ使用条件がどこかで規定されていて、その契約に抵触する勘定になりますから無頓着に放置すると不適合を食らいます。ですから、ジュンジ切り替え中であることを表明することは大事です。

JIPDECが直接当該企業を提訴する可能性は先ず考えられませんが、認証機関がJIPDECから指導を受ける可能性は充分あります。

.*.

いまは「認定シンボル」というらしい?。認定番号も付記することとある。このことが今回の変更点らしい。

.*.

間の悪いことにJIPDECのロゴマークも変わっていますね。JIPDECロゴを利用することは先ず有りませんから気にする必要は有りません。と言っても本当の?オフィシャルなロゴマークがどれなのかはっきりしません。結構いい加減なのかもしれません。紺屋の白袴?

.*.
[ 投稿者:ISMSNEWS at 11:03 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ショットガン方式審査=審査時の移動計画
ショットガン方式=審査時の移動計画

ショットガンは散弾銃とも言うように一斉に玉が飛び散る銃だが、アメフトではパスを受けるレシーバーが一斉に多方面に走り出す作戦?。日大が得意にしていたとか。

審査のショットガンは拠点でオープニングを終えたら一斉に各サイトに移動するやりかた。短期間で多くのサイトをカバーするときに使う。実際は、オープニングだけでなくトップインタビュー(経営者インタビュー)の後でショットガン展開するのが普通。トップの以降を踏まえて、浸透度合いを一斉に確認しに行くわけで迫力がある。他所の状況を確認しての身構えすることも出来ず、適度な緊張感の中での審査が可能。

問題は、コンサルもクライアントの事務局も手勢が限られていると、対応(審査立会い)もフルに出来ないことがある。審査機関も審査員を集合させる負担がでる。

.*.

ショットガンもどきには良くお目にかかる。オープニングも経営者インタビューをスキップしていきなり各部門サイトに飛ぶケース。工数節減だけが目的になっているもので、褒められたものではない。コストと世間体だけのクライアントと見られたら返って逆効果になることが懸念される。

.*.
[ 投稿者:ISMSNEWS at 11:02 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

プログラムに反映させる移動工数
プログラムに反映させる移動工数

遠地で審査を行う場合、審査が開始される前の移動工数が発生するが、普通それは審査上の移動工数とは呼ばない。審査終了後も同じである。もちろ、会社としての出張だから会社の規程上は本拠地または自宅を出て、また戻るまで全部が出張になる。

審査中に複数のサイトを訪問する場合、審査機関中に移動が発生するが、普通はこれが審査における移動工数。朝9時から夕方5時までの間に発生する移動と、夕方5時以降の移動とあるが、9時-5時の審査中に食い込む移動時間は全体の審査時間の2割以内にとどめるようガイド(何処から?)されているらしい。

だからと言って、昼の移動を少なくして、夜の移動を多くすれば、審査員の体調に影響するので歓迎できない。同行する事務局や、コンサルだって大変だ。連日昼夜運転のドライバーの事故と同じことになる。夜移動を多くすれば、見かけ上は工数が小さくなるので、クライアントも営業も安易に受け入れる傾向があるようだ。

しかし、もっとひどいのは実態を無視した移動計画を組み込むケース。例えば、午前中が札幌の審査で、午後は新宿で審査。移動は昼休みを含めて2時間しか取らないような計画を作る。移動工数を十分貰っていないと審査員は苦し紛れにこういう無茶な計画を作る。実際は札幌は早々に引き上げて新宿は送れてスタートする按配だ。

審査工数・準備工数・移動工数は、審査の質と費用に直結するので、明快なガイドラインが策定されてしかるべきだが、認定機関・審査機関の都合が入り込むのか、これですと言えるような明快なガイドは見当たらないそうだ。本当?

.*.
[ 投稿者:ISMSNEWS at 11:01 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

すっきりしない審査計画・審査プログラムのレビュー
すっきりしない審査計画・審査プログラムのレビュー

誰かが、普通は審査チームが審査プログラムを作る。それを第3者または上位者がチェックし、最後に責任者が承認する。しかし、実態は審査チーム以上に上位者も責任者も能力は無いし、変更又変更でのやり取りに追従できるわけも無い。

と言うことで、

普通は審査そのものレビューの一環としてプログラムのレビューも行うのが実態。

しかし、

認定機関はレビューの手続きを求めるらしい。審査機関としてオーソライズした審査計画であることの担保を採りたいのが理由でしょう。

それなら審査を妨害しない程度の手続きを。

何時の場合もアクセルとブレーキの加減が難しい。ということらしい。

.*.

審査チーム以外の第三者によるチェック・承認が必要です。見做し承認でもいいでしょうが、明示的な承認がベター。調整の途中はばたばたしますから、審査開始の1週間前に明示的に行うでも良いでしょうね。それまでに調整は終わらせておく。

クライアント都合で変更は直前でも出るが、直前のイレギュラーケースは現地調整の一環と見做す。

審査レビュー(判定委員会など)の最終確認時に審査計画の妥当性も検証するから、それでよしとする考え方もある。これは駄目です。出荷検査で押さえるから設計レビューはやらないとするようなもの。

.*.

傍目から見ていても出鱈目な審査は枚挙にきりがない。
[ 投稿者:ISMSNEWS at 10:38 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

審査の準備工数
審査は、全体で必要とする工数の何%かは実際に現地に赴き、何%かは準備工数としてオフィスでの作業に当てていいらしい。嫌、当てなければいけないらしい。準備もしないで無手勝流の審査は認めないということのようだ。

何%以上で何%以下は具体的にはどのような数字になるか?

JABとかJIPDECのような認定機関からガイドが出ていても可笑しくない。

出ているんですか?

審査機関も独自に決めているに違いない。

.*.

どの程度準備するかは、審査員個人でも違うし、初めてのサイトかどうかとか、業界に知見があるかどうかとか、準備の量を左右する要素は多い。

これはコンサルも同じこと。

で結局のところ、個人任せが実態。

準備のためのチェックリストは個人で作って個人で管理。無理もない。ワークスタイル自体が人それぞれ違うのできつい箍(たが)をはめることに優位性はない。

でも。

何かあってしかるべきだ。

.*.
[ 投稿者:ISMSNEWS at 10:31 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2011年07月28日
自己陶酔型審査は何度もやられると鼻につく
自己陶酔型審査は何度もやられると鼻につく

審査中に壷にはまる領域があると、ここぞとばかりに規格の説明を延々と酔ったように始める。理屈も通っているから納得できる内容だから結構ためになります。

でも、毎年繰り返されたりするとちょっとね。後はこちらでやりますからになる。うん?、出来ていないから毎年繰り返すって?。確かに。そうなるとこちらも立場が無いね。

初心はすっかり忘れて、だから規格の肝は何処かへやって、去年と同じを繰り返すだけだから、何を言われても身につかない。陶酔型は、だから言ったでしょう、で又始まってしまう。審査員を責めることも出来ないか。

*

自己陶酔型
説教型
恫喝型
事務処理型

.*.
[ 投稿者:ISMSNEWS at 10:30 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

フェアユース
著作権問題

アメリカではフェアユース(Fair Use)の考え方が広く理解されている。公正な利用では、無断使用でも著作権侵害に当たらない。結果、ビジネスは活発になっている。

日本は閉鎖的。例のJxxという団体は象徴的。

日本でもフェアユース的な考え方を出そうとしているが、必ずしも法的に著作権に対する権利制限が明確になった訳ではないから、以前注意を払う必要がある。以下は、法的問題小委員会検討結果で権利制限に関するもの。

A.著作物の付随的な利用。
写真屋映像に写り込んでしまう著作権物。

B.適法利用の過程における著作物利用。
コピーがバッファ上に一時的に保存される状態になること。かな?

C.著作物の表現を享受しない利用。
著作物がネットワーク上に存在(B.と同じ?)するケース、素材として利用するケース。



クリエイティブ・コモンズ・ライセンスという考え方・事例も出てきている。

閉鎖的でないように、著作物を積極的に流通させる発想。

・自分の名前(著作権者表示)があれば使ってくれて良い。
・非営利、お金目的で無ければOK.
・作品の改変をしなければOK.
・作り手と同じライセンスを継承するならOK.

OKとしたが、複数の要求が同時に入るケースも当然ある。OKというより要求の一つと見たほうがよさそうだ。
[ 投稿者:ISMSNEWS at 10:29 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2011年07月23日
どうしてNドライブなんですか?
どうしてNドライブなんですか?

ウインドウズのファイル共有に使うネットストレージに割り当てるドライブ名は何故Nドライブなんでしょう? ネットを探しても見つからないから、特に根拠はなさそうだ。もしくは、勘違いの伝承か。

もっとも、このパソコンを並べただけのファイル共有プロトコルNETBEUIは脆弱なネットワークとされて、最近はあまり使われないとのことだが、実際はどうなんでしょう。社内限定で利用する分には問題ないのかな。

SOHOレベルではNETBEUIは使い易いのですね。

NETBEUI

.*.
[ 投稿者:ISMSNEWS at 22:38 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

著作権を脅かすフェアユースとは?
著作権を脅かすフェアユースとは?

タイトルは著作権者の目線。社会の健全な発展のために編み出した考え方がフェア・ユース。

◆著作権とフェアユース

.*.
[ 投稿者:ISMSNEWS at 22:37 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

笑える初心者コンサルの情報資産価値
笑える初心者コンサルの情報資産価値

多分、今ではそういうことも無いと思うが、いい加減に数をこなそうとするコンサルは、情報資産価値を何が何でも、C:I:A=3:1:1で済まそうとする。鍵さえ掛ければセキュリティはOKとやっている。クライアントが地方の企業の場合、アクセスだけでも大変だから、コンサルは時間も掛けたくない。機密性さえ守っておけば事件も事故も起きないだろうから、機密性価値さえ高くしておけば問題ないとやる訳だ。

他人のコンサル跡を眺めてみると情報資産価値には何と3:1:1の多いことか。呆れるくらい。加えて、この3:1:1というだけで殆どのケースで合理性が無いのだから、更に呆れ返る。

.*.

困るのは、いい加減なコンサルには何時もいい加減な審査員が付いてくれるとは限らないこと。

審査員が3:1:1を疑問に思うと、同席中のコンサルは自分の良い加減を隠すために、いろいろ芝居を始めて終いには怒りだす。クライアントへの体面だけは維持しなければいけないからだ。

しかし、いい加減なコンサルに黙って付き合ういい加減な審査員はもっと問題。罪が深い。倫理的でないから規格違反になる。もっとも、C:I:Aを見て妥当性〜合理性の判断も出来ない審査員、力量不足の審査員も結構残っているようだとか。

.*.
[ 投稿者:ISMSNEWS at 22:35 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2011年07月22日
認証取得事業者数 審査機関による傾向
認証取得事業者数 審査機関による傾向

他社のコンサルファーム、審査機関と一緒になる場合は、あまり話題にしたくないことが、言ってみれば審査機関の営業成績。登録時業者数。

JIPDECという団体(天下り団体?)から、毎月、審査機関毎の登録数をホームページに発表している。審査機関の盛衰がある。

長年トップにあった審査機関は数年で二位転落が読み取れる。長年三位であった審査機関は最近四位に転落した。

.*.

各機関とも殆ど同時に始めた審査という事業でどうして此処まで差が付いたのか。その差が広がったり縮まったりする理由は何か。まさに、事業戦略の領域で興味は尽きないが、やはり話題になり難い。

でも何が戦略上のミスかは誰の目に明らかなようだ。

.*.
[ 投稿者:ISMSNEWS at 22:34 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

認証取得事業者数が頭打ち傾向です
認証事業者数が頭打ち傾向です

ISOで最初に始まった品質マネジメント(QMS)の事業者数の頭打ちは既に数年前に現れているが、ISMSの認証取得事業者数も漸く此処に来て頭打ち傾向がはっきりしてきた。新規取得より解約・登録取り消しの数が多いということ。統合による減数もある。

際限なく増える訳でないから、一定の水準で頭打ちになるのは当然のことだが、ISMSに関わる仕事をしている人にとってはあまり冷静でも居られないかと思うとそうでもない。もう少し暇になりたいらしい。特に審査員はフォローの仕事が多いので頭打ちであっても尚相当な量の仕事を抱えることになる。コンサルは構築フェーズにうまみがあるので、フォローでも稼ぐコンサルを目指して工夫を重ねているようだ。というのは嘘。フォローのビジネスは規模が小さいので、もっとホットエリアを演出して経営陣へのアプローチを図ろうとしている。

.*.

実際のところ、コンサルや審査に関わる場末の連中の見る目は、もっともっと広がると見ている。今はISMS以外にプライバシー認定制度が来ていて、これは所謂、独立法人のビジネスで似て非なるものを作っての金儲けなんですが、相互の阻害要因になっている。

個人事業でもネットでつなげば国際標準から逃げられないから、時間の問題で、ISO準拠に移行せざるを得ない。

一部の審査機関は以降に向けたプログラムを準備し始めているようだ。

.*.

QMSは今、認証登録時業者数は1万を越えるだろうか。ISMSは性格的により普遍的特性を持つので、QMS並みの数字は達成しておかしくない。

ISMSの規格が付属書付きの形で、依然暫定的の印象が残る。もっと、コンパクトですっきりした規格に浄化・昇華される必要はありそうだ。

事業と言わずに一個人でも情報セキュリティは万全を期したいもの。適切な方法論があれば法人であれ個人であれ取り入れるものでしょう。
[ 投稿者:ISMSNEWS at 22:20 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

避けて欲しかったコンサルの赤っ恥
避けて欲しかったコンサルの赤っ恥

個人でやっているコンサルは、所詮手作りに成らざるを得ない。あちこちに穴が開いている。いくら、審査員の研修を受けて、資格を持ったとしても、組織だった知識が積み重なるわけではないから、穴だらけは止むを得ない。

素人コンサルが、手ほどきしたところで、審査が行われると、ミスの指摘が入る。クライアントはコンサルに教わったとおりにやったのに、審査員から色々外堀内堀を埋めながら質問を受けると、最後はパニックになる。中には泣き出す女性もいる。まあ、ここまで追求する審査員も審査員だが。

問題は、個人の素人コンサル。目前で追及されるクライアントを助ける知恵も無いから、ヤクザに豹変する。クライアントを苛める審査員は敵だというスイッチが入ったのか、審査員を攻撃して矛先をかわす。ヤクザの常套手段。個人事業コンサルは居直りしか手段が無い。

もう少し大きいと、審査員の交替を要求する。

どちらも違法行為レベル。適正な審査を阻害するやり方だから、審査不成立で構わないわけだ。コンサルは赤っ恥をかく羽目になる。

.*.

どうしてコンサルは審査員または審査機関に対して強気なのか?

コンサルは半分は営業なのだ。コンサルは審査機関の営業の側面を持つ。審査の注文を取る換わりに、審査でコンサルに恥をかかせるんじゃないよとやる訳だ。

不適切な癒着の構造が出来上がっているのだが、それに構わず審査を進めると、個人コンサルはビジネスモデルの崩壊になる訳でどうしても普通は審査は止めようとかかってくる。それがヤクザコンサル。

これも固有名詞が飛び交う。

.*.

大変なのはクライアント。間違ったマネジメントシステムを構築し、意味の無い活動を続けている。コンサルは、間違いに気づいているならまだ救いはある。いずれ是正の可能性があるから。間違いとも思わず暴走しているだけの場合は救いようが無い。倫理的であることを捨てた審査員は最低。見てみぬ振りしてOKですとやるんだから。

赤っ恥をかかせた審査員の方がましだろう。

ところで、この不徳の審査員、不徳のコンサルは偏在している。

認証制度をビジネスに位置づけた場合は、ややもすると不徳の癒着がおきる。だからこそ、いっそう倫理的であることが求められる。

としたものの、分けの分からない内容だ。

.*.
[ 投稿者:ISMSNEWS at 22:17 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2011年07月21日
見ていて嫌になる恫喝型・脅迫型の審査
見ていて嫌になる恫喝型・脅迫型の審査

「新たに設けた何処そこの部署は適用範囲から外します。それが嫌なら不適合だしますよ」。いきなりそんなことを言われて、事務局は黙ってしまった。社長は新部門と言っても旧部門から何名かずつ取り込んで作っただけなのに、と食い下がっていた。

守るも攻めるも凡ミスだね。

部門を再編して、新たな部門で文書記録が整っていなくても問題になるわけは無い。ISMSの存在が事業対応の阻害要因になる分けない。旧組織で1年放置なら(正しくは所定の期間を超えて放置なら)、それは問題でしょうが。

社長は不適合が怖くて、適用範囲を狭めるなんて本末転倒をやっている。大事なのは組織全体で取り組んでいること。不適合は是正するだけの話で問題にも何にもならない。だから、どうぞ不適合を出してくださいで済んだのに。知らないことは怖いことだ。

.*.

事故が起きたら誰がカメラの前で挨拶するの?とやる人。本気でやらないとそうなるよ。

部下任せで、説明責任は果たせるの?とやる人。足元すくわれるよ。

不適合出していいの?とやる人。上から睨まれるよ。

嫌な審査員だね。直ぐに帰ってもらえ!が正しいようだ。

.*.
[ 投稿者:ISMSNEWS at 13:40 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

「無くて七癖」ならぬ「無くて難癖」1
「無くて七癖」ならぬ「無くて難癖」

無くて七癖(なくてななくせ)の代わりにあるのが、無くて難癖(なくてなんくせ)です。兎に角、苛めたいらしい。屁理屈をこねるのは得意だから、箸の上げ下ろしにも難癖をつける。標的は定年転職組み。自分と違うことは一切合切認めないとでも言いたげな難癖の連続。

若造の趣味・価値観にあう老人などいるものか。若造が転職に追い込まれた背景が理解できるというものだ。きっと難癖をつける管理職と言う名の老人が存在したのだろう。と言うことになった。最初の犠牲者はその件の若造だと。皆、妙に納得?

しかし、もし審査員なら、嫌、コンサルタントだって、倫理的行動を宣言している訳で、普通の苛めの連鎖に並べていいのか?となった。

結局、天罰は下そうと言うことらしい。此処に来ている多くは老人だから、老人も数が揃えば相当怖い存在になる。もともと、現役の時は、ひとかどの実績を上げて来ている訳だから、見識も意識も高い。黙ってイジメを見ている訳にも行かないようだ。

何処の誰が、一番酷いのか、再び個人名が飛び交う。怖いね。

.*.
[ 投稿者:ISMSNEWS at 13:39 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

定年転職新人に対するイジメ問題
定年転職新人に対するイジメ問題

コンサルとか審査員とかも、定年を契機に転職組みが多い職業の一つ。大企業でISOに関連する部署や役割についていた人が、なんか自分でもやれそうだと思ってチャレンジしてくる。

面白くないのが、本当に中途採用で転職した若手。転職リスクを背負って必至で新しい世界に飛び込んだのに対して、定年転職組みと来たら、お気楽な感覚で、しかもお客様気分でやって来る。必死の取り組みなんかありえない訳で、彼我のギャップに怒り狂う訳だ。

もっとも、人によります。苛める方も苛められる方も。

ところが、このイジメは何処のファームでも、どこの機関でもあるのかと思うとそうでも無いようだ。極めて特定されている。無理やり急成長させて人材バランスが壊れたところに限られる。

何かの説明をしてクライアントから質問が出たら、説明が悪いから質問されたのだとやって、何が何でも駄目だしを続けるらしい。

老人を苛める方法はいくらでもある。言った言わないを始める。否定するとそんなことすら覚えていないのかとやる訳だ。

他には形を変えた体罰。殴ったり蹴ったりは流石に出来ないが、仕事の話を理由に夜遅くまで拘束する。挙句、宿題まで出す。若い連中は3時間の睡眠でも持つが、老人は徹夜せざるを得ないように持って行く。

他にもいくつもあるが、どれか一つをやるのでなく全部セットでやって、定年老人の心身を潰してしまう腹なのだ。恐ろしいね。きっと天罰が下るでしょう。何処の誰か、固有名詞が飛び交っていたような。
[ 投稿者:ISMSNEWS at 13:38 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

嗚呼!勘違い? 更新審査 三年間のレビュー
嗚呼!勘違い? 更新審査 三年間のレビュー

コンサルの審査員に対する目線は概して厳しい。審査員の個人的な思い付きや思い込みが、クライアントに余計な負荷・プレッシャーを掛けることがあるからだ。良かれと思ってのコメントは本当に始末が悪い。悪意の審査なら斬ってしまえば済むが、善意の審査は斬るに斬れないからだ。コンサルはコンサルで真剣にクライアントのことを考えているのです。

ところで、

時に見かけるのは所見傾向を持ってレビューしている審査員。審査員が純粋無垢・公平無私な完全な存在なら所見レビューは組織評価に意味を持つが、実際はばらつき・偏りが同居する存在。組織の傾向×審査員の傾向がそこには現れている訳で、単純でない。加えて、規格そのものが持つ特性が入るから、真の組織課題を見出すのは容易でない。

無意味なレビューの場合も少なからず在りそうだ。というか、審査員のレビューに使っては如何ですか?
[ 投稿者:ISMSNEWS at 13:37 | ISMS四方山話 | コメント(0) | トラックバック(0) ]