あたりさわりのない書き方だなぁ・・・というのはさておき、
政府調達の要件にセキュリティ対策評価を加えるのはいいが、うまくやんないと、ISMS取得支援コンサル業者を喜ばせるだけで終わっちゃうような気がする。
結局、営利企業にセキュリティ対策を本気でやらせるためには、セキュリティ投資に対するリターンを明確にしてやらないといけないのだけど、単にエサをぶら下げて、それ喰いたさに対策をとらせるようじゃ、底が知れてる。リスクをどの程度減らせたかが、最大のリターンなんだろうけど、そもそも今のリスクアセスのやりかたじゃ、たとえば技術的対策(システム導入)でリスクをどの程度減らせたかを投資額との比較で論ずることができるほどのデータは出てこない。結局、ISMSったって、机上の、いわばペーパーワークで終わってしまってるのが現状のようだし、このままじゃ、ISMSとるのに金を使って、肝心の技術面での対策はテキトー、なんてことになりかねないと思うのは私だけだろうか。そのあたりをきちんと考えて、やりかたを標準化してくれ!、といいたいのはやまやまだが、そんなことをおカミに言うと、またロクでもないものが出てきそうで怖い・・・。はぁ、セキュリティ屋の悩みは尽きず・・・だ。
コメントする