Security Eyeの原稿、初版を終えましたが、本日は帰宅後に見直しをしました。誤字脱字を改め、語調を整えたり、文書を練り直したりと一時間ほど所謂推敲というのをしておりました。そこで、文書化ということを考えてみました。
ISMSの認証取得でもJ-SOX法対応でも、現状のプロセスの文書化ということが言われます。この文書化とは単に文字に置き換えるということでなく、文書化という過程で論理化をすることだと思います。日本語は英語に比較し、非論理的とも言われますが、それでも言葉を文字置き換えるだけでは、文書化とは言えないでしょう。現状のプロセスの文書化する際に、そのプロセスが論理的でなければ、誰しもが読んで理解できる手続書にならない気がします。そして、そう言ったプロセスは見直しの対象とすべきなのだと思います。
例えば、正式な承認もなく、根拠も曖昧で、責任者も不明確なプロセスがあったとしたら、どうにも監査には耐えられるとは考えられません。そういったプロセスを正式な承認手順を定め、責任関係を明確にすることで、監査に耐えうるように論理的なものに改善されるのでないでしょうか。
文書化というのは、単に文字に置き換えるのでなく、論理化という濾過の過程を得て、不純物を取り除き行為なのではないかと思った次第です。文書化、それは改善の重要なステップですね。
2006年11月26日日曜日
Security Eyeの記事
日本情報セキュリティ協会の広報誌、Security Eyeの2007年1月号の記事の執筆を依頼されたことは、以前にも当Blogで取り上げました。原稿締切りは、11月30日です。
昨日、いつも週末に通っているスポーツクラブも休み、原稿の初版をようやく書上げました。本職の物下記の方々なら、取るに足らない文量なのですがね。ある程度の量の文章を全体の整合性を気を付けながら考えていくのは、骨の折れることでありました。しかし、自分の頭の中にあることを文章にすることで整理することができ、為になることでした。
やはり、文章力は大事だと実感しましたし、昨今の教育の在り方に関する議論でも国語力の充実が主張されていますが、最もであると思いました。
さて、肝心の記事の内容ですが、それはSecurity Eyeをお読み下さい。エンジニアとして、セキュリティのことに触れてから現在至るまで、頭の中に漠然としてあったことを纏めてみました。特に目新しいこではありません。新たな知見ということを期待されるとがっかりすると思います。間違った事は書いていないつもりですが、読後の感想ご意見などお寄せ頂くとありがたいです。
昨日、いつも週末に通っているスポーツクラブも休み、原稿の初版をようやく書上げました。本職の物下記の方々なら、取るに足らない文量なのですがね。ある程度の量の文章を全体の整合性を気を付けながら考えていくのは、骨の折れることでありました。しかし、自分の頭の中にあることを文章にすることで整理することができ、為になることでした。
やはり、文章力は大事だと実感しましたし、昨今の教育の在り方に関する議論でも国語力の充実が主張されていますが、最もであると思いました。
さて、肝心の記事の内容ですが、それはSecurity Eyeをお読み下さい。エンジニアとして、セキュリティのことに触れてから現在至るまで、頭の中に漠然としてあったことを纏めてみました。特に目新しいこではありません。新たな知見ということを期待されるとがっかりすると思います。間違った事は書いていないつもりですが、読後の感想ご意見などお寄せ頂くとありがたいです。
2006年11月19日日曜日
2006年11月18日は、ITGI-Japan設立記念カンファレンスでした。私もスタッフとして参加いたしました。基調講演と事例が2例と計3件の講演でした。スタッフでしたので、受付にいたりスクリーンの切り替え、PCの操作などしていたので、講演を落ち着いて聴ける状況ではなかったのですが、大いに勉強になりました。11月30日が締め切りのSecurity Eyeの記事の参考にもなりました。
SOX法への対応事例の中で参考になったなど幾つかピックアップしてみます。
⑴ 文書化が基本であり大事であること
⑵ 文書化してみると想定した以上の文書量なったこと
⑶ 当初の見積もった工数より超過したこと
⑷ ID管理やアクセスコントロールが重要であること
⑸ COSOやCobitのフレームワークを自社の状況に合わせてカスタマイズ
⑹ リスクの高い課題を優先的に
など等です。
特に⑷については、Security Eyeの記事で取り上げようと考えていたことと同じで、参考になると同時に十分の着眼点に間違いがなかったと安心しました。
(丸山さんが内容を要領よく纏められてBlogに掲載しているので参考にしてください)
丸山さんのblog
カンファレンス終了後、講師の方3名と奥様、ITGI-Jの松尾会長や運営スタッフの皆さんと打ち上げを行いました。そこで、サンマイクロシステムの下道さんと名刺を交換させていただきました。氏もBlogでこのカンファレンスのことを取り上げています。
下道さんのblog
その席で話したのですが、SOX対策ソリューションと銘打った製品宣伝がありますが、未だ実施基準さえ発表されず、何を持ってソリューションと言うのか実に不思議だなぁと、参加者共通の感想でした。
その他、在宅勤務のコントロール、行き過ぎた個人情報保護法対応、お笑いISMS認証支援裏話など、有意義でもあり可笑しくもありの楽しい時間でした。
しかし、この打ち上げ、共通言語が英語であり、また松尾会長はじめ、日本側参加者の皆さんも堪能で、英会話の苦手な私は端の方で日本語の会話に専念していたのでありました。。
このカンファレンスの発表資料は、スピーカーの同意をいただけた場合は、PDF化した上でITGI-JのHPに掲載、ダウンロード可能する予定です。ITGI-JのHPは準備中ですが、オープンしたらこのBlogでもお知らせしようと思います。
しかし、丸山さんも下道さんも会場で、Note PCを駆使して、カンファレンス中にblogにUP、実に素早い対応でした。更新が滞りがちな上にタイムリーではない私にはとても太刀打ちできません。脱帽です。とは言いながらも少しは見習わねばとは思った私でした。
SOX法への対応事例の中で参考になったなど幾つかピックアップしてみます。
⑴ 文書化が基本であり大事であること
⑵ 文書化してみると想定した以上の文書量なったこと
⑶ 当初の見積もった工数より超過したこと
⑷ ID管理やアクセスコントロールが重要であること
⑸ COSOやCobitのフレームワークを自社の状況に合わせてカスタマイズ
⑹ リスクの高い課題を優先的に
など等です。
特に⑷については、Security Eyeの記事で取り上げようと考えていたことと同じで、参考になると同時に十分の着眼点に間違いがなかったと安心しました。
(丸山さんが内容を要領よく纏められてBlogに掲載しているので参考にしてください)
丸山さんのblog
カンファレンス終了後、講師の方3名と奥様、ITGI-Jの松尾会長や運営スタッフの皆さんと打ち上げを行いました。そこで、サンマイクロシステムの下道さんと名刺を交換させていただきました。氏もBlogでこのカンファレンスのことを取り上げています。
下道さんのblog
その席で話したのですが、SOX対策ソリューションと銘打った製品宣伝がありますが、未だ実施基準さえ発表されず、何を持ってソリューションと言うのか実に不思議だなぁと、参加者共通の感想でした。
その他、在宅勤務のコントロール、行き過ぎた個人情報保護法対応、お笑いISMS認証支援裏話など、有意義でもあり可笑しくもありの楽しい時間でした。
しかし、この打ち上げ、共通言語が英語であり、また松尾会長はじめ、日本側参加者の皆さんも堪能で、英会話の苦手な私は端の方で日本語の会話に専念していたのでありました。。
このカンファレンスの発表資料は、スピーカーの同意をいただけた場合は、PDF化した上でITGI-JのHPに掲載、ダウンロード可能する予定です。ITGI-JのHPは準備中ですが、オープンしたらこのBlogでもお知らせしようと思います。
しかし、丸山さんも下道さんも会場で、Note PCを駆使して、カンファレンス中にblogにUP、実に素早い対応でした。更新が滞りがちな上にタイムリーではない私にはとても太刀打ちできません。脱帽です。とは言いながらも少しは見習わねばとは思った私でした。
2006年11月13日月曜日
ITGI Japan設立記念カンファレンスに参加します
以前、当Blogでも取り上げた11月18日に開催される日本ITガバナンス協会設立記念カンファレンスにスタッフとして参加することになりました。
カンファレンス運営は、イベントの開催支援などをする会社に依頼しているのですが、それ以外にISACA東京支部の理事/委員の有志によるボランティアも支援します。私も、当日の手伝いに志願させて頂きました。
当日は講演の間のPCの操作など担当します。講演の間にPCの操作をしているのが私です。チャンスがあれば、声などお掛けいただくと嬉しいかと。このような機会に人脈を広げるのも宜しいかとおもいます。
当日、多くの方にご挨拶できますことを楽しみにしています。では!
(本音では、これもCPEに計算できるのも嬉しいです)
カンファレンス運営は、イベントの開催支援などをする会社に依頼しているのですが、それ以外にISACA東京支部の理事/委員の有志によるボランティアも支援します。私も、当日の手伝いに志願させて頂きました。
当日は講演の間のPCの操作など担当します。講演の間にPCの操作をしているのが私です。チャンスがあれば、声などお掛けいただくと嬉しいかと。このような機会に人脈を広げるのも宜しいかとおもいます。
当日、多くの方にご挨拶できますことを楽しみにしています。では!
(本音では、これもCPEに計算できるのも嬉しいです)
2006年11月12日日曜日
私は情報システムコントロール協会(ISACA)東京支部の理事としての活動の他に日本セキュリティ監査協会(JASA)の幾つかのプロジェクトにも参加してきました。JASAは、情報セキュリティの啓発や最新情報の提供などを目的に広報誌「Security Eye」を年に3回発行しています。この度、そのSecurity Eye1月号に掲載する記事の執筆を依頼されました。
Security Eye
Security Eyeについては、その配布についてISACAでも協力しており、月例会などの機会で会員の皆様にお渡しています。
技術解説「J-SOX対応監査技術解説」というテーマでの帯連載(3回)の一環で、第1回がトーマツの丸山さん、第2回があらた監査法人の岸さんでお二人とも情報セキュリティやシステム監査の世界で活躍し著名です。そのような方々の後で最後になる3回目の記事の執筆で緊張しています。
所属の会社の許可を得られたので、原稿提出期限の11月30日まで頑張ってみます。資料集めなどで会社の協力を得ながら大いなる緊張と少しの楽しみと、慣れない原稿の執筆です。Security Eye1月号、拙い記事ですが、皆様にお読み頂けるよう頑張ります。
Security Eye
Security Eyeについては、その配布についてISACAでも協力しており、月例会などの機会で会員の皆様にお渡しています。
技術解説「J-SOX対応監査技術解説」というテーマでの帯連載(3回)の一環で、第1回がトーマツの丸山さん、第2回があらた監査法人の岸さんでお二人とも情報セキュリティやシステム監査の世界で活躍し著名です。そのような方々の後で最後になる3回目の記事の執筆で緊張しています。
所属の会社の許可を得られたので、原稿提出期限の11月30日まで頑張ってみます。資料集めなどで会社の協力を得ながら大いなる緊張と少しの楽しみと、慣れない原稿の執筆です。Security Eye1月号、拙い記事ですが、皆様にお読み頂けるよう頑張ります。
登録:
投稿 (Atom)