>
当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。
ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴染めない。
行為は目的とアクションと道具立てによってプランの形になる。
目的は属人的になることもある。大きなカテゴリー分け程度に収めないと、ここだけで苦労する。
アクションは更に難しく、基本動作に限定しないと整理はつかない。
逆に道具から発想すると、とっつきやすい。
何を考えているかと言うと、
セキュリティ問題にアプローチする時の切り口の設定方法。
規格要件の網羅性より、実際の仕事・生活の中の関心事にリンクさせる方が、とっつきやすいだろうということ。
>
- その企業は大丈夫か?
- そのサービスは大丈夫か?
- その商品は大丈夫か?
- その担当は大丈夫か?
- そのイベントは大丈夫か?
これも、辞書的、網羅的発想では破綻する。
マネーをドライバーに使うことにしよう。
何かの商品を購入する場合、その商品、サポート、企業を無意識に評価するが、それをセキュリティの観点でやれば、分かり易い。
公開されている情報は限定的だから、言えることも限られるが、一旦表に出たとなれば、深刻。セキュリティ問題を起こした企業の社会的スタンスは確認できるから、明確なメッセージが公表されなければ、危険企業としておいていいだろう。
>
参考
- 個人情報を提供する機会
- 顧客への情報開示の内容
- サポート品質。問い合わせ対応力。
- 具体的なチェックリストを漸次整備していく必要がありそうだ。
>
