へっぽこヘタレなシステム管理者の管理人です。
さて、本日は国際標準化機構【ISO】に苦言を申したい。
最近の調達案件では【ISO】の認証を取得していることを条件とされる事が多いです。
管理人の仕事の場合では・・・
ISO9001【品質マネジメントシステム】
ISO27001【情報セキュリティマネジメントシステム】
などが要件となることが多いのですが・・・
【ISO9001】・【ISO27001】なんて認証取得していたところで、クソにもならんと断言します。
例えば【ISO】の認証機関のHPには・・・
【品質保証による社会的信頼や顧客満足の向上】・【組織内外からの信頼獲得】等と・・・
ISOの認証取得のメリットが掲載されていますが、
管理人が仕事上で取引するSIベンダについては・・・
本当に【ISO】を取得しているのか???
と文句を言いたくなるほど、いい加減な【品質】&【セキュリティ意識の低さ】です。
今回も、とあるセキュリティインシデントが発生したので・・・
さすがに頭にきて・・・
当該SIベンダのISO認証機関に対してクレームを入れました。
クレームの内容は次のとおりです・・・
貴認証機関からISOの認証を受けている某企業について・・・
品質及びセキュリティ意識の低さで、実害を受けている。
どのような認証をしているのか分からないが・・・
認証を取り消されてもおかしくない問題が出ているのに、継続審査が通っているのはおかしい。
事案を調査し、改善指導又は処分をしろ・・・
うんぬんかんぬん・・・という内容です。
電話でも話しましたが・・・
監査的な論点から言うと【保証監査】に該当するのか【フォローアップ監査】に該当するのかどちらかと聞いても答えられない始末。
少なくとも・・・
認証機関のHPには・・・
【品質保証による社会的信頼や顧客満足の向上】・【組織内外からの信頼獲得】
と掲載があるので・・・
対外的に信用を獲得するための手段となっていることから【保証監査】相当であると・・・
こちらは認識する訳ですよ。
しかし・・・
認証機構側は、あくまで【マネジメントシステム】が機能していることを審査しているだけで・・・
保証するものではないという主張です。
では・・・
どういう審査をしているのかと聞けば・・・
形式的な書類審査をしているとのこと・・・
ブログランキングにご協力ください!
証跡の信頼度でいえば・・・第三者の書類がイチバン高いわけですが・・・
被認証機関が提出する書類のみで審査しているとのことで・・・
その提出された書類についてウソがないか裏を取っていないといことです。
つまり、ウソでも審査がとおってしまうという・・・
かなりウサンクサイものであるといことだけは分かりました。
結局、こんな認証制度なんてものは・・・
単なる金儲けのコンサルタント業【怪しい情報商材と同じ】な訳で・・・
実情は、実態に即しておらず、形骸化して中身なんて何もないわけです。
つまり・・・
審査の為だけの記録の取得(ウソでもなんでもいい)だけが増えて・・・
そのために人手が割かれ・・・
本来の品質管理やセキュイリティ対策が疎かになるという・・・
矛盾が生じるわけです。
全くもって本末転倒以外の何モノでもありません。
コメント