「守れない」「ねつ造」「無駄な業務」---分厚いドキュメントの功罪:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)
ISMS取得コンサルと、結果の分厚いバインダ・・・・そしてそのバインダーで苦しめられる現場のスタッフ・・・・
ISMSを維持するだけの組織と、PCDAによるセキュリティのスパイラルダウン、形だけのPDCAサイクル、くるっと360度戻ってくるPDCAサイクル、色々ありますよねw>さすが三輪節、書きすぎたw
ISMS認証に限らずプライバシーマークなどの認証を取得しようとすると、多くの場合コンサルタントが雇われます。もちろん、そのコンサルタントに課せられた使命は「認証取得させること」です。そこが問題だったのです。審査に合格しなければならないので、過剰に規程を策定したり、情報セキュリティ対策が運用されているエビデンス(証拠)を準備しようとします。コンサルタントは、コンサルタント料をもらうために、金額に応じた「分厚いバインダー」を積んで帰ります。一説には500万円で分厚いバインダー1冊とも言われています。
「守れない」「ねつ造」「無駄な業務」---分厚いドキュメントの功罪 | 日経 xTECH(クロステック)
認証取得を依頼した企業は、その過剰とも言えるコンサルタントの業務を見て「さすがプロ」と感心したりするのです。そして、その分厚い規程を徹底させるための教育が行われます。社員にはさまざまな負荷が増えます。でも、「セキュリティはこれくらいやらなきゃ」くらいの気持ちで真面目に取り組みます。
ルール通りになっていたとねつ造、バックデートの粗油人・・・・
審査の更新時期が近づいてくると、慌てて「ねつ造作業」が始まるのです。私も複数の企業で審査対応のための管理簿の「作成業務」を見たことがあります。審査に受かるためだから、そういう規定があるから、と本末転倒なことが行われている現場も少なからずあるのです。
「守れない」「ねつ造」「無駄な業務」---分厚いドキュメントの功罪(2ページ目) | 日経 xTECH(クロステック)
本来、どれだけきちんと運用されているかが意味を持つのです。守れもしない膨大なドキュメントは単なる無駄でしかなく、結局は守られない習慣が当たり前のようにできてしまうのです。
前職ではISMSを辞めよう!論をしたのですが、トップがNGを出しましたね。
そうはいっても、一度ISMSやプライバシーマークの認証を取得してしまうと、なかなかそれを捨てることはできないものです。情報セキュリティを放棄してしまったようで、このご時世では「危ない会社」と言われかねません。
「守れない」「ねつ造」「無駄な業務」---分厚いドキュメントの功罪(2ページ目) | 日経 xTECH(クロステック)
今後セキュリティ運用のサービスってありえますねぇ。
今後は作業の軽減だけでなく、情報セキュリティに関わる業務そのものをパッケージ化した商品が出るのではないか、と考えています。「情報セキュリティ業務パッケージ」のようなパッケージ商品は私の知る限りではまだありませんが、標準的で抜けのない業務であればパッケージ化して、セキュリティ品質の維持とコスト削減が実現できるかもしれませんね。
「守れない」「ねつ造」「無駄な業務」---分厚いドキュメントの功罪(2ページ目) | 日経 xTECH(クロステック)
