今回はゴーストライター付きで、自分の本音をブログに書いてみる。
ISO27001認証を取り消すべきアクシデントが多々データ復旧業界にもあると思う。
当社も認証取得をしているISO27001にはBCP(事業継続計画)が含まれ、リスクアセスを行い、不測の事態に向け対応を定めている。
顧客から預かった「情報資産」を消失させてしまう事件は度々取り沙汰される。
本来IT会社にとって最も重要度の高い情報資産は、顧客から預かった情報であるはず。
それにもかかわらず「メンテナンスのミス」で、最も重要な情報資産を消失させる様なアクシデントを起こしたら、それはBCP自体が不適切であった事の証明になる。
既にこれはインシデントの範囲ではなく アクシデント。
それも、リスクアセスが不十分であると言う「コストを追求する企業の構造的欠陥」の証明に他ならない。
JR西日本のあの脱線事故と並ぶ様な、企業構造に起因する事故と言って間違いの無いものだと思う。
もっとも、ISO27001を取得するときに、フツーの会社と同じように、経営情報が最も重要な情報資産であり、顧客から預かっている情報は、「重要度の最も低い情報資産である」と規定してもISO27001は取得出来ます。
また、契約書上に「消失における損害は補償しないと記載する」ことでもリスク回避を正当化できるので、これまたISO27001のリスクアセスをパスすることも可能。
これはデータ復旧業界における 診断受付にも記載されているケースがある。
中国産のISMSが最近 耳に入ってきた。
数百万円かかるISMSのコンサル費用が、一日でコンサル終了するので、数十万円以下で取得が出来る。
ISOなんてそんなものですよ?
になってしまったのかな?
実態を知ってしまえば国際認証とか言っても 看板にもならない。
選ぶ人間にもリスクはあるのだと、哀しい世の中を痛感。