データ復旧・データ消去技能者の個人ブログ

HAYATO.NET

未分類

BCPとISMS

更新日:

今回はゴーストライター付きで、自分の本音をブログに書いてみる。

ISO27001認証を取り消すべきアクシデントが多々データ復旧業界にもあると思う。

当社も認証取得をしているISO27001にはBCP(事業継続計画)が含まれ、リスクアセスを行い、不測の事態に向け対応を定めている。

顧客から預かった「情報資産」を消失させてしまう事件は度々取り沙汰される。

本来IT会社にとって最も重要度の高い情報資産は、顧客から預かった情報であるはず。

それにもかかわらず「メンテナンスのミス」で、最も重要な情報資産を消失させる様なアクシデントを起こしたら、それはBCP自体が不適切であった事の証明になる。

既にこれはインシデントの範囲ではなく アクシデント。

それも、リスクアセスが不十分であると言う「コストを追求する企業の構造的欠陥」の証明に他ならない。

JR西日本のあの脱線事故と並ぶ様な、企業構造に起因する事故と言って間違いの無いものだと思う。

もっとも、ISO27001を取得するときに、フツーの会社と同じように、経営情報が最も重要な情報資産であり、顧客から預かっている情報は、「重要度の最も低い情報資産である」と規定してもISO27001は取得出来ます。

また、契約書上に「消失における損害は補償しないと記載する」ことでもリスク回避を正当化できるので、これまたISO27001のリスクアセスをパスすることも可能。
これはデータ復旧業界における 診断受付にも記載されているケースがある。

中国産のISMSが最近 耳に入ってきた。

数百万円かかるISMSのコンサル費用が、一日でコンサル終了するので、数十万円以下で取得が出来る。

ISOなんてそんなものですよ?
になってしまったのかな?

実態を知ってしまえば国際認証とか言っても 看板にもならない。
選ぶ人間にもリスクはあるのだと、哀しい世の中を痛感。

-未分類
-

Copyright© HAYATO.NET , 2021 AllRights Reserved Powered by STINGER.