管理策⇄要求証跡マッピング
アクセス制御・バックアップ・教育などの統制カテゴリごとに「どの証跡が要るか」を台帳化。抜けの無い土台をつくります。
年次審査の証跡集めを、審査直前の徹夜から年中5分運用へ。
管理策に紐づけ → 収集依頼 → 蓄積 → 審査用に束ねて出力を、1つのジョブにまとめます。日常で証跡を所定スロットへためておき、審査・サーベイランスでは管理策ごとに束ねて即提示。兼任で回す情シス1〜2名のための、ためる→出すの運用テンプレートです。
「年中5分」は日常運用1回あたりの操作時間の目安(推定)です。実際の所要時間は対象範囲・証跡数により異なります。デモはブラウザ内(localStorage)で動作・サンプルデータで全機能を確認できます。
こんな現場課題を解きます
「ISMS・Pマーク・SOC2の年次審査やサーベイランスで、規程順守記録・点検記録などの証跡収集に追われる。情シス1〜2名が兼任では回しきれず、審査直前に管理策と証跡を突合して徹夜になる。」
いまの証跡集め、こうなっていませんか
少人数の情シスでは、年次審査のたびに同じ手作業を繰り返しがちです。下のどれかに心当たりがあれば、ジョブ化の余地があります。
-
1
管理策ごとに必要証跡を思い出す
「この統制には何の記録が要るんだっけ」を毎回、頭の中や過去資料から再構築する。
-
2
担当へメールやチャットで督促
「あの記録ください」を個別に送り、返信待ち・再督促を手で繰り返す。
-
3
Excelで収集状況を管理
誰に・何を・いつまでに頼んだか、回収できたかを表に手で転記し続ける。
-
4
フォルダに証跡が散在
メール添付・共有ドライブ・各人の手元に証跡が分かれ、最新版がどれか分からなくなる。
-
5
審査直前に管理策⇄証跡を突合して徹夜
提出直前に「管理策ごとにどの証跡が揃っているか」を一気に突合し直し、抜けを探し回る。
4ステップで、証跡が出る1つのジョブに
マッピング → 収集依頼 → 蓄積 → 審査用に束ねて出力。日常運用で空き(未収集)は隠さず見せ、架空の充足は作らないのが基本方針です。
収集依頼・期限
各証跡スロットに担当と期限を持たせ、収集依頼を起票。誰に・何を・いつまでにを台帳側で管理します。
蓄積(証跡)
集めた証跡を所定スロットへ。未収集/収集中/収集済の状態と期限接近・超過を色で可視化し、漏れを審査前に検知します。
審査用に束ねて出力
管理策単位で紐づく証跡の状態・期限・担当・メモをCSVで端末内エクスポート。審査員・取引先へ渡せる形に束ねます。
架空証跡を持たせない
未収集は空欄として可視化
状態は色+アイコン+ラベルで明示
はじめの摩擦をゼロに
アカウント登録や難しい初期設定なしで、まず1管理策セットだけ試せます。
無料で1管理策セットを試せる
サンプルの管理策と要求証跡で、ためる→出すの流れをそのまま体験できます。
クレジットカード不要
支払い情報の入力なしで、その場でアプリを開けます。
CSV出力に対応
審査用に束ねた証跡の状態を、表計算ソフトで開けるCSVとして書き出せます。
ブラウザ内で完結
デモの操作はお使いのブラウザ内(localStorage)に保存。サーバー送信はありません。
担当者からの証跡回収は、リンクから・ログイン不要で
収集依頼は、担当者が共有リンクを開いてその場で証跡をアップロード/回答できる想定です。回収する相手にアカウント作成や管理画面の操作を求めません。共有リンクの送信は下書きまでで、送信は人間が承認します(自動送信はしません)。
根拠となる規格・制度に紐づけて整理
管理策・要求証跡は、以下の規格・制度の一般的な枠組みに沿って整理する想定です(一般名称・条項レベル)。
ISO/IEC 27001(ISMS)
附属書A の管理策全般。アクセス制御・運用のログ・教育・資産管理などの統制ごとに、要求される記録(証跡)を紐づけます。
Pマーク(JIS Q 15001)
個人情報保護マネジメントシステムの規格。安全管理措置・委託先監督・教育などの実施記録を証跡として蓄積します。
SOC 2(Type I / Type II)
Trust Services Criteria に基づく統制。Type I は設計時点、Type II は一定期間の運用の証跡を、期間を通して年中ためられます。
規格・制度名は各規格・認証制度の一般名称です。本サービスは証跡を整理・運用するための支援ツールであり、これを使うことで認証の取得・審査合格・法令順守を保証するものではありません。
まずはサンプルデータで触ってみる
ログイン不要・カード不要。すべての操作はお使いのブラウザ内に保存されます。