日常語:ISO27001 with 情報セキュリティ新事情  RSSを登録する

「結局ISO語で書かれていて分かりにくい!」と評判のISO27001(元BS7799-2)を、1項位ずつ順繰りに平易な日本語に直して(口語訳)解説を届けます。初心者歓迎!おまけに情報セキュリティ新事情も掲載。

最新号をメルマガでお届けします    
登録 解除

規約に同意して

登録した方には、まぐまぐの公式メルマガ(無料)をお届けします。
2009/09/01

日常語ISO27001 with セキュリティ新事情 ~5.2.2 訓練

No.222                       09.08.31
◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

 日常語:ISO27001 with 情報セキュリティ新事情

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆


  昨日は、衆議院議員選挙でした。大方の予想通り民主党の圧勝だったわけ
 ですが、単独で2/3に迫るほどの圧勝になるとは思いませんでした。公明
 党の小選挙区全滅も意外でした。自民党当選者のうち18人は、民主党候補
 が立たなかったところで勝っていますので、ことによるともっと極端な結果
 になったかもしれないわけですね。

  それにしても、政権交代が必要だったのは何も今に始まったのではなく、
 数十年前からの事でした。実現には随分と時間がかかりましたね。

  ともかく、政権が交代しても情報セキュリティ脅威は益々強くなるという
 事は間違いありません。では、ニャンニャンニャンの222号。


★情報セキュリティ新事情------------------------

  大型連休の度に、P2Pファイル共有ソフトの利用状況をモニターして
 報告してくれるネットエージェントが、お盆休みにも調査をしてくれました。

  以前は、Winnyだけしか調査していなかったのですが、Shareも対象になり、
 LimeWire/Cabosも対象になり、今回はPrefectDarkも対象にする様になって
 います。P2P事情の多様化にともなって、実態を調査結果に反映させる為
 には、これくらいは調査が必要だということなのですね。

  5年前には、コンピュータ内にwinny.exeというファイルがないか検索すれ
 ば、簡単な検査が出来たのですが、もはやそんな簡単には検査出来ません。
 ファイル名が変更されている可能性まで考えれば、探索ソフトを使うしか
 ないほどになっています。


  ともかく調査結果では、これまで僅かに減少傾向にあったファイル共有
 ソフトの利用者数は、いずれのソフトウェアでも結構急な増加に転じました。

  今年のGWとの比較では、お盆に休みにならない会社はGWに休まない会社
 よりも多いですから直接比較が出来ませんが、昨年の同時期と比較していずれ
 も利用者が増えています。

 Winny:35万台ほど -昨年が25万台弱でしたので、大幅増加です。
    年末年始が25万台程度、GWが30万台程度でしたので、やはり
    大幅に増えていると言えます。

 Share:17万台ほど -昨年が16万台ほど、年末年始が18万台、
    GWに対しても10%減との事です。微増と考えれば良いでしょう。

 LimeWire/Cabos:320万台ほど -昨年に比べて12%増、GWに比べて15
    %減ですが、欧米での利用が多いので国内利用台数の参考にはなりま
    せん。(Winny・Shareはほとんどが国内利用)

 Prefect Dark:5万台余 -GWと比べて4割増ですが、今年からの調査な
    ので昨年との比はわかりません。


  ネットエージェントでは、これらのプログラムが再度見直されてきたのだ
 ろうと述べていますが、そんな複雑な事情ではなく、単に不景気が原因なの
 だと思われます。

  製造業を中心に、毎週木金土日が休みの週休4日制になってしまっている
 会社が珍しくありません。休業手当は出ますから、休業日の給料がゼロに
 なるわけではありませんが、5万円、10万円の減収になっている人は少な
 くないでしょう。

  一方景気が悪いのですから、その休みに出来るバイトがあるわけでもなく、
 単にヒマな日が増えます。ヒマばかりあってお金がないのですから、お金を
 使わずにヒマを潰す方法が必要になってきます。違法を承知で、社内規則に
 も違反になるのを承知で、背に腹は代えられなくて、著作権料を払わずに
 映像・音楽のソフトウェアを手に入れてしまう事になっているのだろうと
 思われます。

  ちゃんと社員の給料を定期昇給させていても難しいでしょうが、減らして
 いる会社ではこの流れを断ち切るのはムリです。繰り返しますが、対策を
 しようとしたら、これらのP2Pファイル共有ソフトの利用を自宅でも禁止
 するだけでは足りません。禁止した上で、それでも違反がある程度ある事を
 覚悟しなければいけないのです。仕事の為であっても会社の情報を自宅へ
 持って帰る事も厳禁にして下さい。それが出来なければ、会社の情報はWinny
 などのネットワークにいつか流出すると覚悟が要ります。


☆本題のISO27001解説--------------------------

5.2.2 訓練、意識及び能力

▼訓練、能力
 会社は、ISMSで何かの責任を持つ事に決められた全ての社員が、その責任を
果たす能力を確実に持つようにさせて下さい。やり方は下の通りです。

 a)どんな仕事をする社員に、どんな能力が必要なのかハッキリさせる。
 b)必要な能力を持つように、社員を訓練する。又は、代わりに何かする。
  (例えば、能力を持っている人を雇い入れるなど)
 c)行った訓練やその代わりの事が効果があったかどうか確かめる。
 d)教育(学校教育を含む)、訓練、技能、経験、資格などについて、記録を
  つけてとっておく。

▼意識
 会社は、全ての社員(ISMSに関係のない社員を除く)が確実に、情報セ
キュリティ活動を何故やるのか、やるとどう良い事があって、やらないとどん
な大変な事が起こる可能性があるのかという事を、肝に銘じる(意識する)様
になる様にしなければなりません。また、ISMS目標の達成のために、一人
々々が何を出来るのかという事を、全社員が確実に理解している様にしなけれ
ばなりません。

 【解説】情報は口頭からでも漏れていきますから、”意識”という事は、
  他のマネジメントシステムでも大切ですが、情報セキュリティでは特に
  大切です。


 【用語の解説】JIS版では、この項での用語の使い方が特に大きな問題があ
  り、さらにISO9001/14001のJIS訳とも一部ズレています。

  まず『訓練』、
   原文に”Training”とあります。机に座って講義を受けるようなもの
  よりは、OJT(On the Job Traing)のイメージに近いでしょう。もちろん、
  講義であっていけないわけではありません。但し欧米文化では、講義を
  伴う訓練であっても演習が主体になる事が大半ですから、ISO27001を作成
  した人たちの意図は『トレーニング』という事でしょう。JIS版では
  ”Training”を勝手に「教育・訓練」と訳しています。その為、講師が
  テキストを作成して・・等という誤解がある様です。
   原文にはあくまでも、「教育」なんて書かれていません。(dの、教育
  (原文で”education”の部分は別。)ISO9001/14001のJIS訳でも同様の事
  が起こっています。

  次に『能力』、
   JIS版では「力量」とされています。しかし、”力量”というのはあま
  りに日常使わない言葉なので、「日常語ISO27001」では”能力”とします。
  尚、原文では”competence”です。
   ISO9001/14001のJIS訳でも「力量」になっています。
   余談ですが、9001の訳で”力量”という訳になっているのは、
  competenceの定義にskillという言葉が使われていて、そちらを「能力」
  と訳してしまったために、competenceを仕方なく「力量」と訳したもので
  す。ところが、ISO27001のJIS版では、skillは「技能」と訳されています。
  (本項d))

  ついでに『意識』、
   原文では”awareness”です。ISO27001のJIS訳/JIPDEC規格では「認識」。
  ISO9001/14001のJIS訳では「自覚」と訳されています。問題があるほど
  大きな違いではないのですが、ISO27001前身のBS7799が制定されるよりも
  さらにずっと前から「情報セキュリティで『意識(awareness)』は、とって
  も大切だ」と言われ続けていたので、それに合わせて「意識」としました。

  出版物などの参考資料との対比のため対訳表を掲載します。

  原文	日常語ISO27001	 JIS版		ISO9001/14001のJIS訳
  training	 訓練		教育・訓練	 教育・訓練
  education	 教育		教育		 教育
  competence	 能力		力量		 力量
  skill	 技能		技能		 能力
  awareness	 意識		意識向上/認識	 自覚

------------------------------------
 マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して
 提供しています。
------------------------------------
日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して
います。
日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語
変換版ではありません。
日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web
などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。
尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する
つもりです。

ご質問、ご意見、ご相談、政権交代は大歓迎です。

他の項目の解説は:  http://www.kiriishi.net/7799/top.htm

バックナンバーは:  新事情インデックスからご利用下さい。
情報セキュリティ新事情インデックスは:
           http://www.kiriishi.net/7799/jijo.htm
マネジメント改善研究所ホームページ:
           http://www.kiriishi.net/
メールマガジンの登録・解除は:
           http://www.kiriishi.net/7799/mag2.htm
環境版メルマガは:
           http://www.kiriishi.net/14001/mag2.htm
ご意見、ご感想、ご質問は:
           info3@kiriishi.net

○発行 マネジメント改善研究所
○編集 切石 庄之介
Copyright マネジメント改善研究所 

マネジメント改善研究所は、石川県金沢市にあります。
大雨で電車が止まらなければ、編集人自ら全国に出張可能です。


























ここまで
最新号をメルマガでお届け
登録 解除

規約に同意して

登録した方には、まぐまぐの公式メルマガ(無料)をお届けします。

最近の記事

上へ戻る