よくあるご質問一覧

情報セキュリティの完全性が損なわれると何が起こる？

完全性が損なわれることで、データが古いままになってしまったり、プログラムのエラーによって可用性が損なわれたりする可能性があります。

情報セキュリティの完全性を損なうリスクにはどんなものがある？

完全性を損なうリスクとして代表的なものは、操作ミスやマルウェアの感染です。またサーバーの故障によって最新のデータベースが壊れてしまうこともあるでしょう。

品質保証とは何ですか？

品質保証とは、顧客や社会の製品に対する要求事項が満たされていることに対して確信を与えることに焦点を合わせた品質マネジメントシステムの一部のことです。要するに、一定の品質を満たしているという証拠を提供する組織の体系的な活動のことを品質保証と言います。

なぜ否認防止をする必要があるのですか？

多くの場合、悪質な操作やインシデントの根源を識別する目的で対策が行われます。ISMSでは情報セキュリティ上のインシデントを調査し、是正処置・予防処理を取る必要がありますが、このフェーズでリスクを低減するためにも否認防止を行うことが重要です。

否認防止はどのように行えば良いですか？

ミドルウェアによるアクセスログの取得、アプリケーション側でイベントログの取得を行うことで否認防止を行うことができます。ただし、イベントログの取得はタイムスタンプやIPアドレス、利用者IDなどを取得できないように信頼性を維持する必要があります。

ISO9001における機会ってどういう意味？

新たな慣行の採用，新製品の発売，新市場の開拓，新たな顧客への取り組み，パートナーシップの構築，新たな技術の使用，及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得るもののことを機会といいます。

ISO9001におけるリスクって何？

ISO9001におけるリスクとは、品質に関連する「不確実性の高い出来事」のことを言います。リスクといえば一般的にマイナスイメージを持ってしまいがちですが、ここで言うリスクは品質に好影響を与えるものも含みます。もちろん、品質を損なうような出来事も不確実性を持ったものであればリスクと見做すことができます。

品質目標は途中で変更してはいけないの？

組織は品質目標を達成するための計画を実行する必要があると、ISO9001の規格では定められています。このため、「達成できない」と判断した時点で品質目標を変更することは、規格の意図に反しています。ただし、マネジメントレビューの結果新たな品質目標を定めたり、PDCAの改善のステップで品質目標を見直すことは、規格が要求していることであるため、組織の状況や内外の課題の変化に応じて変更するべきです。

なぜ品質目標は計測可能でなくてはならないの？

PDCAサイクルを効率的に回すためです。予め具体的且つ計測可能な目標を定めて、その目標を達成する計画を実行すると結果から原因を特定しやすく、これによって達成できなかった場合でも次回の計画に活かすことが可能になります。品質マネジメントシステムでは「目標を達成すること」よりも「持続的に改善すること」が重要ですから、計測可能な品質目標を定めて効率的にPDCAサイクルを回すことがISO9001では求められているのです。

ISOを維持するために年間どれくらいの費用が必要？

ISOの維持には1年に1回～2回のサーベイランス審査と3年に1回の更新審査が必要になります。サーベイランス審査の費用はだいたい30万円程度、更新審査には60万円程度が必要になります。ですので、最低でも3年間で150万円程度は見積もっておく必要があります。