セキュリティを上げないISMS導入は可能か。【補足】

前回記事の補足です。まずはこちらからご覧ください。
もともと、セキュリティに「絶対」なんて無いんです。
どこまで厳重なセキュリティ体制を布くかは、相対的な問題でしかありません。
ISMSが求めているのは、「今より厳しく、もっと厳しく、さらに厳しく」ではありません。
そんなこと、要求事項のどこにも書いてありません。
それどころか、「可用性の喪失も考慮しなきゃ駄目よ。」と明記されています。
すでに厳しすぎるISMSを構築してしまった企業においても、
現場からの「やりにくくなった」という声を反映し、大幅にルールを緩和することは可能のはずです。
審査員から何か言われたら、
「これまでは可用性を軽視し過ぎていた。だからそこを改善した。これがISMSの継続的改善だ。」
と主張してみてはいかがでしょうか。
審査員によっては、
こんなにセキュリティの甘い受審企業は初めて見た。」みたいな文句を付けてくるかもしれません。
その場合は、規格を盾に抵抗しましょう。
審査員だって人間ですから、多少の思い込みはあります。
でも、審査は規格に基づいて行われなくてはいけません。
「審査員様がこうおっしゃっている!仰せの通りにしなくては!」
みたいに受け止める必要は、皆無です。
(事務局が自社の現場も規格の意図もよく理解していと、往々にしてそうなります。
特に、事務局が総務事務部門の片手間として運営されている場合は、陥りやすいと思います。)
管理責任者も事務局も、会社からお給料をもらっているんであって、
審査機関のために働いているのではありませんからね。
そもそも、「ISMS認証を取得するか否か」という判断だって、
企業にとっては経営上の選択肢でしかありません。
審査員の顔色をうかがうことはせず、自社のための仕事をしようじゃないですか!
(ちょっとストレス発散)

“セキュリティを上げないISMS導入は可能か。【補足】” に2件のコメントがあります

  • SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    >そもそも、「ISMS認証を取得するか否か」という判断だって、
    >企業にとっては経営上の選択肢でしかありません。
    >審査員の顔色をうかがうことはせず、自社のための仕事をしようじゃないですか!
    おー[絵文字:v-218]おっしゃるとおりです[絵文字:v-63]

  • SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    コメント有難うございます。
    企業にとっては本来、顧客以上の存在は在り得ないので、
    ちゃんとそっちに目を向けたマネジメントシステムでなければ意味がありません。
    審査は補助的なものですね。

コメントは停止中です。