bsi. Pointglobalログイン画面
『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』
※
- 情報セキュリティの審査はもはや最低レベル?
- 日本IBMの人が徐々に一線を退いてレベルが下がってきた。
- 其れよりも問題なのは、一般企業での経験もそこそこにBSIジャパンに入社した世代が中核・中堅になってきたこと。彼らは、はっきり言えば一般企業では負け犬。実務経験も満足に積まず、特に管理職としての現場を全く理解していないから、感覚的に頓珍漢が多い。
- 審査用語を駆使しているから戸惑うが深みがない。共感もない。よく見れば只のパフォーマンスをやっているに過ぎない。
- もっと酷いのは所謂文科系の人間が殆どITを理解しないまま審査していること。IT経験者がゼロではないが若いころの一部所の経験だけではセキュリティ審査を満足にやるのは難しい。
- どうしても、BSIで審査をやるなら審査員は選ぶべきだ。一般企業でIT関連部門の管理職経験者を選ぶべきだろう。40歳とか45歳とかになる前にBSIに参加した人は避けるべきだ。BSIでの経験は事務処理がスムーズになるだけでセキュリティの本質問題にライトを当てることはない。
※
- 認証発行の売上生産性が組織目標と勘違いしているクレージーな会社だ。
- 何が何でも不適合を出さない。
- 英国本社で不適合を出さない妙な組織として問題になってグループ内監査が実施されたが、その後も本質は何も変わっていない。
- 不適合の件数だけは少し増やしているようだが、内容は表層的で直ぐに対応できるものに止める。是正確認は1年後でOKのものばかり。
- クライアントは従来OKとされたものがNGでは納得できない。審査の連続性を要求するのは当然だが、BSIは其れを完全に受け入れている。
- 是正は人のためならず。しかし、BSIの足元を見るクライアント、BSIが甘やかし過ぎたクライアントは受け入れない。BSIのクレージーな経営陣は是正を先送り。
※
- 問題を指摘しないで観察事項だけで済ませば、手間は掛からない。グッドポイントを連発すれば顧客は喜ぶ。セキュリティ問題が発生しても審査が悪いからと表立ってクレームする企業はない。いい加減な審査を続けることは売上利益に貢献するだけでリスク無し。
- JIPDECのお目付けが形式的には存在するが形式だけを踏まえれば逃げることは可能。初期段階では規格を開発した審査機関にJIPDECが口を挟むのは至難だった。
- BSIジャパンは日本の企業のセキュリティ水準を引き下げてしまった。いまのあ、重石になっている。JIPDECなりJABに問題発見に統計的アプローチの知恵があれば10年前にBSIの問題を指摘できただろう。一般の審査機関がもう少し準備しないと認証取得は難しいとコメントする中で、こういう解釈が出来るから内ならOKですとBSIが次々クライアントを獲得している。
※
- BSIの中の有能で真面目な審査員は何をしているか?。紙に残すものはミニマムにして、純粋なコメントで大事な話をしてクライアントと自分を納得させている。酷い話だ。コメントはいつか忘れ去られ、文書化された詰まらない内容(特に問題ありません。不適合事項はありません。改善が見とれられます。さらなる改善に取り組んでください。望まれます。経営者のリーダーシップは特筆すべきものです。などなど)だけが残って企業を蝕む。
- BSIの審査員によくやっていると褒められて喜んでいるほどお目出度いものはない。取り合えず認証は欲しかったとしても本気の改善、堅固化は自分でやらなければいけない。その時のパートナーとして誰を選ぶか。少し考えれば直ぐに分かることでしょう。
※
- 以前ベテランの審査員がやってきた。審査件数の実績は一番ありますと自慢していた。3年間のレビューをやってくれた。日付印の押し忘れが目立つと話していた。
- 初歩的な審査を繰り返してきた証拠だと気付かないようだ。日付の押し忘れが目立つならより本質的な指摘をしなければいけないのに、表層的な審査を繰り返していただけだ。これでは本質的な改善には繋がらない。
- 3年間のレビューをやるなら自分のレビューをやってはどうかと思う。
- この審査員は別の部署では、教育・周知の方法論の改善について見直しはどのようにすべきか聞くと規格はそんなこと要求していないと言い出す始末。
- こんなクレージーな審査員がベテランであちこちで審査してきたわけだからどれくらい罪深い想像するだけで恐ろしくなる。この人は黙って聞いている人は皆無知だと思っているんだろうか。
- このベテランは張ったりだけは効く。体育会系の乗りとはったりで、地位も上がったようだが、それが、BSIジャパンの実力ということだろう。
※
- 健全な審査を受けて正しく成長していくには、審査員も変える、審査機関も変える、組織の担当者も変える。素人では困るから複数の人材を作ってローテーションさせるべきだ。相互牽制もできるようにしておくべきだろう。
- 審査機関とコネクションのないアドバイザー契約も必要だ。審査会場の隅から見ていてもらうことだ。
※
- 以上は世間話を纏めたもの。どれくらい真実を述べているかは、審査会場に足を運んで自分の目と耳で確認してください。全くの嘘か、全くの真実か、その中間か?。
- 駄目な審査機関が大きな顔をしている理由の一つは駄目な受審組織の存在。本末転倒していることが非常に多いらしい。足元を見られているから残念な審査も受け入れている。危険ドラッグの中毒患者と同じですね。
※