アカウント名:
パスワード:
誇れるような実装でもなければ認識もダメダメだったわけだ。今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな
ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学
ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。
#ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。#第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・
存在しないものに名を授ける神学的行為なのでは?
ISMSは最低限守るべき手続きの規定しかない。
ISMSも取れない企業は信用に値しないことは間違いないが、ISMSを取ってるからと言っても信頼はできない。
ISMSとってる大手なんか信用してはいけません。大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。
最善の効率とは、完全属人化状態で、疑似エスパー状態の時をいい、(「時が見える!」状態)それの解消がISMSとかの管理フレームワークの目的だとしたら、効率が下がるのは、「予定通り」では?
ザルさの解消のためには、さらなる効率の低下が求められるが、そこまでのコストは、大手でも負えない、だけ、では?
プライバシーマーク(笑)と同じようなもんですよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
開発期間の短さを誇っていたが (スコア:0)
誇れるような実装でもなければ認識もダメダメだったわけだ。
今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
Re:開発期間の短さを誇っていたが (スコア:4, 興味深い)
誇れるような実装でもなければ認識もダメダメだったわけだ。
今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな
ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学
Re:開発期間の短さを誇っていたが (スコア:5, 興味深い)
ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。
ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。
そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。
#ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。
#第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・
Re:開発期間の短さを誇っていたが (スコア:1)
存在しないものに名を授ける神学的行為なのでは?
Re:開発期間の短さを誇っていたが (スコア:1)
ISMSは最低限守るべき手続きの規定しかない。
ISMSも取れない企業は信用に値しないことは間違いないが、
ISMSを取ってるからと言っても信頼はできない。
Re: (スコア:0)
ISMSとってる大手なんか信用してはいけません。
大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。
Re: (スコア:0)
最善の効率とは、完全属人化状態で、疑似エスパー状態の時をいい、
(「時が見える!」状態)
それの解消がISMSとかの管理フレームワークの目的だとしたら、
効率が下がるのは、「予定通り」では?
ザルさの解消のためには、さらなる効率の低下が求められるが、
そこまでのコストは、大手でも負えない、だけ、では?
Re: (スコア:0)
プライバシーマーク(笑)と同じようなもんですよ
Re: (スコア:0)
# セキュリティ監査資格ホルダーだけど回し者ではありません、ISO認定員ではありません
・ISMS認証となると第三者認証が必須です。ただ、認証機関は出てきた材料で判断します。
・顕在化していないリスクは存在しないものと同じです。シュレーディンガーの猫。
・ベストプラクティスとなるリスクシナリオスタンダードはこの世に存在しません。ビジネスによって如何様にも変化します。
Pマークもそうだったけど、PDCAを1ループだけ回す建付けではきめ細かい改善はできません。
また、ビジネス側の強い要望があればセキュリティより優先されます。
まぁ、ビジネス側の要望とユーザーの欲しい物やレピュテーションリスクが相反することはままありますので。今回のケースみたいに。
---- 何ぃ!ザシャー