[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
ただいまコメントを受けつけておりません。
P マークとか ISO とか SOC とか FISC とかのお仕事をしていると、案外自分も周りも分かってない、というのが分かってきた。例えば「P マーク持ってる」は価値があっても「SOC1 もってる」はそれだけじゃ価値があるかどうかは分からない (けど、まぁ価値はたぶんあるんだろう) とか。「FISC 持ってる」はよく意味が分からない、とか。
この手のコンプライアンスとかの基準を理解するのに Certification / Report / Declaration という三つの単語は便利だと思うので紹介。
ISO とか PCI DSS とかは「~の認証 (Certification) を受ける」となる。
認証を受けるには団体 (企業) が一定の基準を満たしたうえで監査機関から評価を受けて「客観的に見て確かに基準を満たしているね」と評価してもらう必要がある。
認証のありがたみは「客観的に見て一定の基準を満たしている」と分かる点である。
ただし、一定基準を満たしていれば認証されるので、基準をスレスレで達した場合と基準を余裕で満たしている場合の区別がつかない。監査の時だけ表面を整える、なんてひどい会社の話もチラホラきく。また、監査機関に依頼する関係でもらうにはお金を払う必要がある。
個人で言うと「英検2級を持っている」に近い。
SOC シリーズはこれにあたり、「SOC1 の報告書 (Report) を書いてもらった」などという。
なんらかの要求に対してどのように対応しているのか、対応が十分か否かなどを監査機関から客観的に評価してもらい、報告書を書いてもらう。
これのありがたみも認証と同じく客観的な点であるが、「客観的に見てどの程度のレベルに達しているか」分かるものである。
監査機関に書いてもらう関係で有料なためまずないとは思うが、あくまで報告書であるため、レベルが大変に低い場合「ひどい状況でした」というレポートが出てくる。監査機関はそうならないためにある程度助言などはしてくれるとはいえ。
個人で言うと「TOEIC のスコア持ってます」に近いか。
FISC 安全対策基準はこれになる。「FISC 安全対策基準に弊社は準拠している」などという。広義には CSA STAR の Level 1 (セルフアセスメント段階) もこれにあたるだろうか。
ガイドラインなどへの準拠度合いについて、自己監査を行い報告する。
自己監査であるため無料なのは強み。
ただし、第三者機関によるものではないため、効果のほどはその団体の信用度に左右される。ただ、そういった資料に従って取引相手は判断を下すため少なくとも嘘はつけない。
個人で言うと (嘘だとバレたらかなりまずい状況下で)「わたしは英語ができます」と言っているようなものである。
種類 | 例 | 説明 | 利点 | 欠点 |
---|---|---|---|---|
Certification (認証) | ISO, Pマーク など | 監査機関が特定の水準を満たしている団体に出す合格証 | 客観的な評価である。一定の水準以上であることが示される | 一定の水準をどの程度こえているかは分からない。また、取得は有料 |
Report (報告) | SOC など | 監査機関が内容について書いた報告書 | 客観的な評価である。一定の内容について細やかに評価されている | (大体問題ないだろうけれども) 内容を読まないとレベルの程は分からない。また、取得は有料 |
Declaration (宣言) | FISC 安全対策基準など | 自分で内容についてレポートしたもの | 自分で作成するので原則無料 | (嘘をついた時のリスクが大きすぎるからあまりないとは思うが) 内容が本当かどうかは分からない |
ただいまコメントを受けつけておりません。