ISMSって美味しいの?

まるちゃんの情報セキュリティ気まぐれ日記にISMS Pマークと個人情報の委託先の選定という日記が掲載されているのに今頃気がついた。

そもそも情報セキュリティの「範囲」やその「程度」というものは意外と測りづらい物であると思う。
丸山氏の仰る通りISMSはあくまで「ちゃんと基準にそって、ルールを作ってやってますよ」という程度の物であって、実際にその善し悪しを判断するのはやはりユーザである。
つまり、その企業がどのような情報セキュリティを施しているのかを見えやすくするための物がISMSであろうと私は考える訳です。

だから、「うちはISMSマークがあるから信用に値します!」なんて言う営業の言葉は鵜呑みにしない方が良いし、プレゼンに自社が持っている他社情報を持ち出すような企業はその場で指摘している。(もっともそこまで痛いプレゼンは大分以前に1度だけであったが・・・)

ちなみに「適用宣言書」は実は目次みたいな物で、実際その施策の中身を見るには「詳細管理策」に関する適用内容を確認する必要があるし、それが行われている事を確認したいのなら自らの目で見るか、監査記録や運用記録(監査証跡でもいい)を確認させてもらう事が必要になると思う。
もっとも、大概の企業はそこまで見せてはくれないだろうが。

そういう意味では、本当に消費者側に立った情報セキュリティはまだその第1歩を踏み出したばかりで、道のりは遠いのではないかと稚拙ながら思う今日この頃です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください