公認情報なんちゃら人(補)になった件
クローバーフィールドの「資格ハンター」、そして「情報なんちゃら士」こと杉山です。
3/4に特定非営利活動法人 日本セキュリティ監査協会にて、「公認情報セキュリティ監査人補」の認定をいただきました。
なんでこのタイミングでブログの記事に書いているのかと言いますと、サイトに公開されたのが昨日だからです。
認定の通知だけ来てたんですね。サボっていた訳ではありません!と、言い訳しておきます。
ちなみに、日本セキュリティ監査協会のサイトでは、公認情報セキュリティ監査人や公認情報セキュリティ監査人補の名簿が公開されています。クローバーフィールドではなく、私が個人的に経営している会社名で登録されています。
まぁ、「だからどうやねん」って話しですが。
趣味なんで。
何で監査人の勉強などをしているかと言いますと、クローバーフィールドは1/22にSECURITY ACTIONの二つ星を宣言したからなんですと、言う訳で情報セキュリティの監査のお勉強しようと思ったら、「公認情報セキュリティ監査人」にぶち当たりました。
現役の監査人から、情報セキュリティ監査の技法について教えていただるなんてありがたいことです。
本を読んだだけではわからないこともありますからね。
小さいながらもソフトウェアの開発を行う上で、お客さまの大事なデータや製品の仕様に触れるのですから、情報セキュリティの向上をル目指すのは当然のだと思います。また、社員の個人情報も預かっていますし。
いやでしょ、自分の個人情報を雑に扱う会社って。
ですので、情報セキュリティインシデントが発生しないようにしっかりしないといかんのです。
このために、情報セキュリティに関する規約を定め、運用手順を整理して、日々の業務を行うのですが、情報セキュリティをするためには、定期的に現状を把握して見直しを行う必要があります。
情報セキュリティ内部監査を行う訳です。
しかし、私自身は一応クローバーフィールドの代表なので、自分の会社に対して内部監査はできません。
また、社内で内部監査員を教育したり、外部監査を入れる予算もありません。
でも、内部監査はできないにしても、内部点検を実施することは可能です。
これから、内部点検の中期計画なども考えていきたいと思います。
私の本業であるシステム基盤構築やシステムの運用設計も監査を考慮した設計ができるようになると思います。
よくよく考えると自分の仕事を単に増やしてしまった感もありますが、こういうのが好きななんですね。
こんなことをしていると、システム監査についてもっと知りたくなってきました。
まだまだ、知りたいことがいっぱいです。