先日,ISACAの月例会の中で,
アイエスレーティングの方から,情報セキュリティ格付けの説明がありました。
格付投資情報センターと,ISベンダを中心に研究−事業化を行ったもので,
要は,企業(または事業)のセキュリティレベルを16段階で格付けするものです。
AAAからB−なので,いわゆる格付けと同じですね。
ISMSとの違いについて,当然のことながら色々と言及されているのですが,
いまいちピンと来ませんでした。
サブプライム問題で信頼性が地に落ちた格付業が,
新しい土俵で新しい儲け口を探しているような気配もあります。
ISMSは規格に対して適合するかしないかを評価するものですが,
格付けは高いレベルから低いレベルまでの間で,適当なレベルを与えます。
当然,上位のレベルのものは信頼性につながる,と。
ISMSは,コンサル料と受審料,マークの使用料で初年度に5〜600万は最低かかるでしょう。
格付けは,1回で400万円。有効期限は1年間。
2年度以降の更新料はわかっていませんし,
より高いレベルにするためのコンサル料も,どの程度になるかわかりません。
たとえば,ISMSをギリギリ取れる程度のセキュリティレベルだと,
格付けだとどの程度のレベルになるのでしょうか。
ISMSやPマークが取引条件になっている場合,
たとえばこの格付けでAをとっていれば,ISMSの代わりになると言えるのでしょうか。
こういう不景気な世の中ですと,
企業は必要性だけではお金を出さないと思います。必然性が無いと。
AAAを取っているからといって,
仕事が決まる決定打になるのでしょうか?
なんとなく,メジャーになっていく予感が全然しないのですが,
ここに参加されている皆さんはどう思われるでしょうか?
アイエスレーティングの方から,情報セキュリティ格付けの説明がありました。
格付投資情報センターと,ISベンダを中心に研究−事業化を行ったもので,
要は,企業(または事業)のセキュリティレベルを16段階で格付けするものです。
AAAからB−なので,いわゆる格付けと同じですね。
ISMSとの違いについて,当然のことながら色々と言及されているのですが,
いまいちピンと来ませんでした。
サブプライム問題で信頼性が地に落ちた格付業が,
新しい土俵で新しい儲け口を探しているような気配もあります。
ISMSは規格に対して適合するかしないかを評価するものですが,
格付けは高いレベルから低いレベルまでの間で,適当なレベルを与えます。
当然,上位のレベルのものは信頼性につながる,と。
ISMSは,コンサル料と受審料,マークの使用料で初年度に5〜600万は最低かかるでしょう。
格付けは,1回で400万円。有効期限は1年間。
2年度以降の更新料はわかっていませんし,
より高いレベルにするためのコンサル料も,どの程度になるかわかりません。
たとえば,ISMSをギリギリ取れる程度のセキュリティレベルだと,
格付けだとどの程度のレベルになるのでしょうか。
ISMSやPマークが取引条件になっている場合,
たとえばこの格付けでAをとっていれば,ISMSの代わりになると言えるのでしょうか。
こういう不景気な世の中ですと,
企業は必要性だけではお金を出さないと思います。必然性が無いと。
AAAを取っているからといって,
仕事が決まる決定打になるのでしょうか?
なんとなく,メジャーになっていく予感が全然しないのですが,
ここに参加されている皆さんはどう思われるでしょうか?
|
|
|
|
コメント(4)
はじめまして。
私は、ある企業グループにて情報子会社に出向当時、ISMSの認証取得に取り組みまして、取得、JISQ移行にかかわった後、昨年6月に本社の監査部に復職となりAFTER JSOXでのグループ全体のIT監査を課題として取り組んでいるものです。
移動後、初めてJSOXの講習に参加した際に、IT全般統制を講義する公認会計士にISMSについて質問したところ、彼らはISMSについて具体的な知識を持ち合わせておらず、全般統制にISMSをどう活用したらよいか、ISMSが評価に利用できるかという問いについて、ノーアイディアでした。
びりぃさんは、ISACAの月例会にご出席されたということですので、COBITと、監査資格であるCISAについてはご存知かと思いますが、誤解を恐れずに言えば、評価する監査業務サイドにとっては、COBITはすでに記号化していて、ISMSとどう違うかということなど意識もしていないのです。
資格に対しても同様で、監査業務サイドから見て、評価に足るのは、IPAなどでイメージする業務サイドでのIT監査資格ではなく、やはりCISAというわけです。
要するに、システム構築サイドと、監査業務サイドの視点が違っており、いまのところ交わらせる動きもないのです。
私は、情報子会社においてJSOXに対応する話が出たときに、ISMS133の要求項目と、COBITの評価項目の対比をしてみましたが、適用する範囲として、ガバナンス、開発、サービス管理に対応する部分ですりあわない部分があるものの、ISMSがCOBITのほとんどの領域を包含しており、リスク管理という点については、優位な内容であると判断しました。
ただ、ISMSは、PDCAのフレームワークであり、格付けのフレームワークではありません。COBITは、5段階で整備運用状況を評価する内容ですので、ご指摘の格付けの件、COBITの5段階評価を細かくしたものだとすれば合点が行きます。
では、COBITベースで格付けされると仮定して、メリットがあるかということですが、確かに魅力は感じません(笑)この格付けは、企業が業務をおこなうにおいて、ITガバナンスがどの様に機能しているかを評価するものであって、SIベンダーの能力を評価するものではないからです。
内容から拝察して、びりぃさんはSIベンダーにお勤めかと思いますが、お付き合いのあるのはユーザー内の情報部門かと思います。その立場のかたがたにアピールできるのは、やはりISMS(27000)であり、ITIL(20000)であり、CMMです。
一方、コンサルティングとして経営者や監査部門と渡り合うためには、こっち側の知識体系では、話が通じません。資格としてはCIA、CISA。フレームワークとしては、COSOやERMを勉強されると、一気に世界が開けるものと思いますよ。
責任はもてませんが。
私は、ある企業グループにて情報子会社に出向当時、ISMSの認証取得に取り組みまして、取得、JISQ移行にかかわった後、昨年6月に本社の監査部に復職となりAFTER JSOXでのグループ全体のIT監査を課題として取り組んでいるものです。
移動後、初めてJSOXの講習に参加した際に、IT全般統制を講義する公認会計士にISMSについて質問したところ、彼らはISMSについて具体的な知識を持ち合わせておらず、全般統制にISMSをどう活用したらよいか、ISMSが評価に利用できるかという問いについて、ノーアイディアでした。
びりぃさんは、ISACAの月例会にご出席されたということですので、COBITと、監査資格であるCISAについてはご存知かと思いますが、誤解を恐れずに言えば、評価する監査業務サイドにとっては、COBITはすでに記号化していて、ISMSとどう違うかということなど意識もしていないのです。
資格に対しても同様で、監査業務サイドから見て、評価に足るのは、IPAなどでイメージする業務サイドでのIT監査資格ではなく、やはりCISAというわけです。
要するに、システム構築サイドと、監査業務サイドの視点が違っており、いまのところ交わらせる動きもないのです。
私は、情報子会社においてJSOXに対応する話が出たときに、ISMS133の要求項目と、COBITの評価項目の対比をしてみましたが、適用する範囲として、ガバナンス、開発、サービス管理に対応する部分ですりあわない部分があるものの、ISMSがCOBITのほとんどの領域を包含しており、リスク管理という点については、優位な内容であると判断しました。
ただ、ISMSは、PDCAのフレームワークであり、格付けのフレームワークではありません。COBITは、5段階で整備運用状況を評価する内容ですので、ご指摘の格付けの件、COBITの5段階評価を細かくしたものだとすれば合点が行きます。
では、COBITベースで格付けされると仮定して、メリットがあるかということですが、確かに魅力は感じません(笑)この格付けは、企業が業務をおこなうにおいて、ITガバナンスがどの様に機能しているかを評価するものであって、SIベンダーの能力を評価するものではないからです。
内容から拝察して、びりぃさんはSIベンダーにお勤めかと思いますが、お付き合いのあるのはユーザー内の情報部門かと思います。その立場のかたがたにアピールできるのは、やはりISMS(27000)であり、ITIL(20000)であり、CMMです。
一方、コンサルティングとして経営者や監査部門と渡り合うためには、こっち側の知識体系では、話が通じません。資格としてはCIA、CISA。フレームワークとしては、COSOやERMを勉強されると、一気に世界が開けるものと思いますよ。
責任はもてませんが。
もはや何でも屋になっているので,仕事は形容が難しいですが,
最初にかかわった規格は,ISOになる前のISO15408です。
ある時期にISMSの事務局業務を引き受けてから,
ISMSも含めて,PマークやBCP構築の支援もいくつかやり,
今はある金融機関のITGC構築/評価支援をやっています。
興味としてはBCPネットワークで,これは某NPOでやっています。
自分が事務局をやったISMSでは,
このコミュニティのトピでも書きましたが,
TR13335-3とCobiTをベースにリスク分析を行いました。
CobiT for ISMSと,IS Assurance using CobiTを参考に
しました。
今は,CobiT for SOX,CobiT for Basel2,金融庁の金融検査
チェックリストとFISCの安全対策,システム監査指針に,
会計士の報告書35号,システム管理基準追補版までマージした
ERMチャートを作成して,評価モデル作りを進めています。
監査の現場と開発の現場の両方が,やることが多すぎてすでに
ギブアップ状態だったので。
こんな感じで世の中や企業のニーズの移り変わりを見ながら,
やっぱり情報セキュリティの格付けには食指が動かないんですよねぇ。
まぁ,トピックスの反応がいまいちなことからも,
格付けへの興味については推して知るべしかも。。
最初にかかわった規格は,ISOになる前のISO15408です。
ある時期にISMSの事務局業務を引き受けてから,
ISMSも含めて,PマークやBCP構築の支援もいくつかやり,
今はある金融機関のITGC構築/評価支援をやっています。
興味としてはBCPネットワークで,これは某NPOでやっています。
自分が事務局をやったISMSでは,
このコミュニティのトピでも書きましたが,
TR13335-3とCobiTをベースにリスク分析を行いました。
CobiT for ISMSと,IS Assurance using CobiTを参考に
しました。
今は,CobiT for SOX,CobiT for Basel2,金融庁の金融検査
チェックリストとFISCの安全対策,システム監査指針に,
会計士の報告書35号,システム管理基準追補版までマージした
ERMチャートを作成して,評価モデル作りを進めています。
監査の現場と開発の現場の両方が,やることが多すぎてすでに
ギブアップ状態だったので。
こんな感じで世の中や企業のニーズの移り変わりを見ながら,
やっぱり情報セキュリティの格付けには食指が動かないんですよねぇ。
まぁ,トピックスの反応がいまいちなことからも,
格付けへの興味については推して知るべしかも。。
びりぃさん
ご返信ありがとうございます。
豊富なご経験をお持ちのご様子で、釈迦に説法でありましたね。
ご無礼様でした。
TR1335−3とCOBITをベースにリスク分析をなさったということですが、脅威・脆弱性分析の要素に、COBITを考慮したというイメージでしょうか。
いずれにしても、私の浅い経験の範囲では、JSOX対応でのコンサル側からは、ISMSは結果としての評価にはつながりましたが、コミュニケーションのツールとしてはまったく機能せず、ストレスがたまりました。
COBIT for ISMSなるものもあるのですね。恥ずかしながらはじめて認識いたしました。
格付けの話はともかくですが、JSOXでの監査法人からの指摘は、事業継続等リスクアプローチが薄いように感じております。
ISMSのフレームワークで問題ないではないかと思いつつ、監査法人とのやり取りのなかでうまく説明できない(あるいは相手もよくわかっていないのかとも
思えてきますが)のです。
またいろいろとご教授くださいませ。
ご返信ありがとうございます。
豊富なご経験をお持ちのご様子で、釈迦に説法でありましたね。
ご無礼様でした。
TR1335−3とCOBITをベースにリスク分析をなさったということですが、脅威・脆弱性分析の要素に、COBITを考慮したというイメージでしょうか。
いずれにしても、私の浅い経験の範囲では、JSOX対応でのコンサル側からは、ISMSは結果としての評価にはつながりましたが、コミュニケーションのツールとしてはまったく機能せず、ストレスがたまりました。
COBIT for ISMSなるものもあるのですね。恥ずかしながらはじめて認識いたしました。
格付けの話はともかくですが、JSOXでの監査法人からの指摘は、事業継続等リスクアプローチが薄いように感じております。
ISMSのフレームワークで問題ないではないかと思いつつ、監査法人とのやり取りのなかでうまく説明できない(あるいは相手もよくわかっていないのかとも
思えてきますが)のです。
またいろいろとご教授くださいませ。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
ISO/IEC 27000 / ISMS / BS7799 更新情報
-
最新のイベント
-
最新のアンケート
