「情報セキュリティ」という技術カテゴリーは、今やあらゆるIT分野での必須テクノロジーです。
私が取得しているネットワークスペシャリスト、電気通信主任技術者、工事担任者だけでなく基本や応用情報処理の国家試験でもかならずこの分野の問題が出てきます。
会社や各事業体でもISMSなどの審査を通っていることが企業としての信頼の指標になっていたりします。
「品質管理」についてもメーカではQMS(品質マネジメントシステム)が規定され、そのルールに乗っ取った出荷検査が行われます。
こちらもISO9001などに審査を通している企業がたくさんありますよね。
でも、IT業界で仕事していると、本当に守らないといけないのは何??
と問い直したくなる場面がよくあります。
担当者はISOの細かい基準などみないし、ISMSだって一部の情報セキュリティ部門が音頭を取って、年に一度のサーベイランスに向けてエビデンス作りに奔走している。
品質管理なんかはその部門の業務フローに応じたQMSのルール則って開発部門が出荷検査を通すためだけの検証テストになったりしています。
私は後輩に........
「守らないといけないのはQMSではなくて品質だよ。
エンジニアとして自分が担当する商品の品質を守るんだという意識があればQMSはおのずと守られるもんだよ」
と言ってます。
QMSを通すために出荷検査やってる訳じゃなくて、エンジニアとしてこれだけテストしておけば世に送り出せるという信念に基づいてやるものです。
情報セキュリティについても、守りたい情報は何なのか?
守るのは機密情報や秘情報、個人情報と言った区分化された情報で、ルールを守るのが目的じゃない。ルールを守っても漏れるものは漏れるんですよ。
「情報セキュリティ」も「品質」もややこしいから誰かがルールを作る。
そのルールを守ることが目的になってしまって、守らないといけないものの本質から外れる。
エンジニアとして守らないといけないのは「情報」や「品質」。
人が決めた「ルール」ではない。