『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』

bsi. Pointglobalログイン画面

『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』
  • 情報セキュリティの審査はもはや最低レベル?
  1. 日本IBMの人が徐々に一線を退いてレベルが下がってきた。
  2. 其れよりも問題なのは、一般企業での経験もそこそこにBSIジャパンに入社した世代が中核・中堅になってきたこと。彼らは、はっきり言えば一般企業では負け犬。実務経験も満足に積まず、特に管理職としての現場を全く理解していないから、感覚的に頓珍漢が多い。
  3. 審査用語を駆使しているから戸惑うが深みがない。共感もない。よく見れば只のパフォーマンスをやっているに過ぎない。
  4. もっと酷いのは所謂文科系の人間が殆どITを理解しないまま審査していること。IT経験者がゼロではないが若いころの一部所の経験だけではセキュリティ審査を満足にやるのは難しい。
  5. どうしても、BSIで審査をやるなら審査員は選ぶべきだ。一般企業でIT関連部門の管理職経験者を選ぶべきだろう。40歳とか45歳とかになる前にBSIに参加した人は避けるべきだ。BSIでの経験は事務処理がスムーズになるだけでセキュリティの本質問題にライトを当てることはない。
  • 認証発行の売上生産性が組織目標と勘違いしているクレージーな会社だ。
  1. 何が何でも不適合を出さない。
  2. 英国本社で不適合を出さない妙な組織として問題になってグループ内監査が実施されたが、その後も本質は何も変わっていない。
  3. 不適合の件数だけは少し増やしているようだが、内容は表層的で直ぐに対応できるものに止める。是正確認は1年後でOKのものばかり。
  4. クライアントは従来OKとされたものがNGでは納得できない。審査の連続性を要求するのは当然だが、BSIは其れを完全に受け入れている。
  5. 是正は人のためならず。しかし、BSIの足元を見るクライアント、BSIが甘やかし過ぎたクライアントは受け入れない。BSIのクレージーな経営陣は是正を先送り。
  1. 問題を指摘しないで観察事項だけで済ませば、手間は掛からない。グッドポイントを連発すれば顧客は喜ぶ。セキュリティ問題が発生しても審査が悪いからと表立ってクレームする企業はない。いい加減な審査を続けることは売上利益に貢献するだけでリスク無し。
  2. JIPDECのお目付けが形式的には存在するが形式だけを踏まえれば逃げることは可能。初期段階では規格を開発した審査機関にJIPDECが口を挟むのは至難だった。
  3. BSIジャパンは日本の企業のセキュリティ水準を引き下げてしまった。いまのあ、重石になっている。JIPDECなりJABに問題発見に統計的アプローチの知恵があれば10年前にBSIの問題を指摘できただろう。一般の審査機関がもう少し準備しないと認証取得は難しいとコメントする中で、こういう解釈が出来るから内ならOKですとBSIが次々クライアントを獲得している。
  1. BSIの中の有能で真面目な審査員は何をしているか?。紙に残すものはミニマムにして、純粋なコメントで大事な話をしてクライアントと自分を納得させている。酷い話だ。コメントはいつか忘れ去られ、文書化された詰まらない内容(特に問題ありません。不適合事項はありません。改善が見とれられます。さらなる改善に取り組んでください。望まれます。経営者のリーダーシップは特筆すべきものです。などなど)だけが残って企業を蝕む。
  2. BSIの審査員によくやっていると褒められて喜んでいるほどお目出度いものはない。取り合えず認証は欲しかったとしても本気の改善、堅固化は自分でやらなければいけない。その時のパートナーとして誰を選ぶか。少し考えれば直ぐに分かることでしょう。
  1. 以前ベテランの審査員がやってきた。審査件数の実績は一番ありますと自慢していた。3年間のレビューをやってくれた。日付印の押し忘れが目立つと話していた。
  2. 初歩的な審査を繰り返してきた証拠だと気付かないようだ。日付の押し忘れが目立つならより本質的な指摘をしなければいけないのに、表層的な審査を繰り返していただけだ。これでは本質的な改善には繋がらない。
  3. 3年間のレビューをやるなら自分のレビューをやってはどうかと思う。
  4. この審査員は別の部署では、教育・周知の方法論の改善について見直しはどのようにすべきか聞くと規格はそんなこと要求していないと言い出す始末。
  5. こんなクレージーな審査員がベテランであちこちで審査してきたわけだからどれくらい罪深い想像するだけで恐ろしくなる。この人は黙って聞いている人は皆無知だと思っているんだろうか。
  6. このベテランは張ったりだけは効く。体育会系の乗りとはったりで、地位も上がったようだが、それが、BSIジャパンの実力ということだろう。
  1. 健全な審査を受けて正しく成長していくには、審査員も変える、審査機関も変える、組織の担当者も変える。素人では困るから複数の人材を作ってローテーションさせるべきだ。相互牽制もできるようにしておくべきだろう。
  2. 審査機関とコネクションのないアドバイザー契約も必要だ。審査会場の隅から見ていてもらうことだ。
  • 以上は世間話を纏めたもの。どれくらい真実を述べているかは、審査会場に足を運んで自分の目と耳で確認してください。全くの嘘か、全くの真実か、その中間か?。
  • 駄目な審査機関が大きな顔をしている理由の一つは駄目な受審組織の存在。本末転倒していることが非常に多いらしい。足元を見られているから残念な審査も受け入れている。危険ドラッグの中毒患者と同じですね。

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 準備工数とか移動工数とか
    審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • 遠隔診断用及び環境設定用ポートの保護とは?
    遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • JICQAの審査で困ったら?[ISMS]
    JICQAの審査で困ったら?[ISMS] JICQA 日本検査キューエイ http://www.jicqa.co.jp/ .*. .*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*.+.*. Pre Audit Check Point...

人気の投稿:年間

  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • 観察事項のグッドポイントって何ですか?
    審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある...
  • 遠隔診断用及び環境設定用ポートの保護とは?
    遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • ISMS適用範囲の書き方
    ISMS適用範囲の書き方 ISMSの認証をとって継続的に管理するなら、いっそ、規格を下敷きにする発想がある。既存の文書管理体系の整合上、メリットが無ければ電子的読み替え表をイントラネット内に実現した方が良いでしょう。 .*. 適用範囲定義書を作るときもある。別紙...

人気の投稿

  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • クリアデスクは時間の無駄?
    クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • ISO 27002 :2013関連情報
    ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700...
  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • ASR :エイエスアール株式会社
    ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件...
  • 名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない?
    名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50...
  • 嗚呼、勘違いの情報資産台帳
    嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...