質問

2012年08月07日 09時08分
  • ISO27001認証取得(継続)のメリット・デメリット

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

おはようございます、情シスマン2929です。

弊社では情報セキュリティに全社的に力を入れており、
ISO27001も取得しております。認証取得、継続運用することによる
メリットも大きいのですが、コスト負担も大きいというのが悩みの種。

そこでみなさまにお聞きしたいのが、ISO27001認証取得に関しての
メリット、デメリット。

私が考えるメリット・デメリットは以下の通りですが、
その他どのようなものがありますでしょうか?

 (メリット)
  ・顧客に対して安心感を与えることができる
  ・認証継続によりセキュリティ対策を考えざるをえない
   (その結果、セキュリティレベルが向上)

 (デメリット)
  ・コストがかかる
  ・認証継続のためにある程度の社内工数がかかる

以上

1件の回答があります

回答

単純に”経営的にメリットがあるか”で判断すればよいのではないでしょうか。
(1)入札やベンダーとしての参入に「ISO27000シリーズの取得が必須」というケースがあるなら取得せざるを得ない。(そのケースが少なくてその入札に参加できなくても営業的に問題なければやめてしまうのもアリ)
(2)世間的な評判として「ISO27000シリーズの取得が有利」と思うなら取得するほうがよい 
J−SOXのIT統制でも情報セキュリティは求められます。

がいずれにしても”経営層がその気になるか/ならないか”が大きいと思います。メリットのある/なしはどのようにでも言いくるめることができるので”経営層がその気になる”なら数字をでっち上げてもメリットありとして継続に邁進すればいいでしょう。 しかし経営層にその気がなくなったのなら、そして(1)の理由がないなら、やめてしまうのもアリと思います。

コスト負担の面では「認証機関を変えてみる」というのもよいでしょう。探せば安いところもあると思いますし、違う観点で見てもらえるのでマンネリを防げます。(昔と違って認証機関はたくさんあります。ウチも認証機関を変えてコストを下げました(最初は言葉が違うので「どういう意味ですか?」を連発しましたが..)。

情シス員としてはISOの如何にかかわらず”有効なセキュリティ対策を行うこと”が大事です。ISOを取っていても情報漏洩を起こしたらいっぺんに信用を失います。そのときにいくら「ISO27000を取得していました」といっても言い訳にもなりません。

2012年08月07日 09時55分

あなたもコメントしましょう!