JIPDEC苦渋の結論?BSIが規定違反していないというだけのことでしょ?
.*.
認証組織の顧客情報大量流出の事案を受けて実施した
BSIグループジャパン株式会社に対する特別審査の結果について
2014年9月5日
一般財団法人 日本情報経済社会推進協会(JIPDEC)
情報マネジメント推進センター
JIPDEC情報マネジメント推進センターでは、「顧客情報漏えい」の公表・報道があったISMS認証取得組織(株式会社シンフォーム:ISMS認証一時停止中)の認証審査を実施したBSIグループジャパン株式会社に対し、 株式会社シンフォームに対するこれまでの審査及び事故発生後の対応内容の妥当性を確認するための特別審査を実施し、判定委員会へ上申いたしました。
その結果、BSIグループジャパン株式会社の対応内容に問題がなく、同社の適合性評価業務を行う能力が引き続き認定を維持するレベルであると判定されました。
以上
http://www.isms.jipdec.or.jp/tokubetsu_shinsa_kekka20140905.html
.*.
JIPDECは世間の圧力を受けて特別審査を実施した。JIPDECの規定に違反していないことを確認した。BSIが如何に無能であったかは関知しない(関知できない)スタンスに変わりはない。
情報セキュリティは結果が全てだ。2億件の情報流出?。取り返しがつかない。これ以上、どういう不名誉があるというのか?。今までの努力は全て水泡に消え去ったも同じ。
結局、情報漏えいしてしまっては全く意味のない特別審査だ。審査結果の問題なしということは、BSIの審査では今後も事件は起きると宣言しているようなものだ。そもそも、IT実務経験のないAラタ?辺りが幅を利かすようになってBSIは終わっていた。他にも問題は山積み?。
.*.
BSIの審査を受けて、不適合の指摘ゼロで満足している組織のISMSは油断大敵。BSIは出来の上下に関わらず殆どの場合不適合は出ない。不適合を出すときも是正負担の小さいものをピックアップする。本気で組織のセキュリティに寄り添うことは無いでしょう。
.*.
(最初は良い審査機関だった)
初期のBSIジャパンは見習うべき相手でした。1990年代ごろ?。暴走が始まったのはISMS審査を始めてからです。2000年代に入ってから。IBMリタイア組が多く入って光の部分を形成できました。重要な審査はIBMリタイア組が担当。闇の部分では実務経験のない若手が多く採用されていい加減な審査が行われていました。若手(問題児?)が中堅の領域に入ってくるようになると審査も営業もやる審査で結果は見るまでもありません。ISMS審査の悪しき作法が他の規格にまで展開されていけば最早救いようがありません。
IT実務経験のない、企業での業務経験も希薄なまま、審査だコンサルだを始めてしまった人が、今のBSIジャパンでは中堅のISMS審査員になっている。彼らは審査より営業、さらにパフォーマンス優先の人材だから、セキュリティを預けることはできない。謂わば自殺行為。
従来は特定の審査員を忌避すれば済んでいた。優秀な審査員も多いのだ(過去形?)。が、この頃の営業志向の強い社長のもとでは全体が歪み始めているのではないか。
.*.
BSIの審査員は無茶を言わない。よく受審部門のことを考えてくれると最初は有難く思うものだが、2年3年すると、本当に何も言わないことに驚く。緊張感は日々薄れていく。形式的なイベントを開いて会費を払っているようなもの。組織のセキュリティがどの程度かは何も分からない。確信も持てない。
甘い言葉に誘われてBSIを使ってみたが、今はこの微温湯に経営陣まで浸りきっている。もはや抜け出すのが厳しい。それがBSIの目論見だろう。結果、日本の企業のセキュリティのレベルを下げ続けているかもしれない。
.*.
