So-net無料ブログ作成
検索選択

「認定を取得」 [雑記]

 いささかご無沙汰しておりましたが、ちょっと気になる記事を見つけました。

 ITpro "Microsoft、クラウド型サービス・スイート「BPOS」の政府機関向け専用サービス開始"

 当該記事で気になる点は2つ。

 1つは、身許調査に関する部分です。
---
アクセス可能な人物は少人数に限定し、国際武器取引規制に従って厳しい審査を受けた米国民のみとする。
---

 CISAやCISMの勉強をしていると、セキュリティ対策の一つとして「従業員の身許の確認」が重視されることに気づきます。
 出自や過去の犯歴等を確かめてからでなければ、うかうかとアクセス権を与えられないということで、テロや犯罪を防ぐためには当然の措置と云えましょう。

 しかし日本の政府機関では、要員の国籍や身許をどこまでチェックしているでしょうか。
 そもそも日本で身許確認なんて云うと、人権問題が絡んでしまい、取扱いが難しい。

 さらに日本の場合は、外資系企業が政府機関のシステム構築に係わることもあります。
 米国では、ハード、ソフト、サービス等のどこをとっても自国で賄えて当たり前でしょうが、日本ではそうではありません。
 その善し悪しはともかく、日米の違いが端的に表れているところでしょう。


 もう1つは、サービスについて説明している部分。
---
セキュリティ管理の認証基準ISO 27001、内部統制の認証基準SAS70タイプIおよびII、暗号モジュールのセキュリティ要件FIPS 140-2などの認定を取得しているほか、家族教育権とプライバシ法、電子記録・電子署名に関する規制などに準拠している。
---

 「内部統制の認証基準SAS70タイプIおよびII…の認定を取得している」って言葉づかいはヘンですね。
 SAS70は認定したり認証したりするものではありません。監査人が内部統制を評価してレポートを発行することについて定めているだけで、評価結果はレポートを読まなければ判りません。レポートには内部統制が適正ではないと書いてあるかもしれないし、たとえ適正でも前提条件が付いているかもしれません。
 ISMSのように審査をクリアしたことを「認定」しているわけではないので、「取得」するものでもありません。

 あえて云えば、「SAS70タイプIおよびIIのレポートを受領した」という表現になるのでしょうが、受領だけでは何かを達成した感じがしませんから、「認定を取得」なんて書いてしまうのでしょう。

 Microsoftの発表資料によれば、原文には次のように書かれています。
---
Business Productivity Online Suite meets a wide variety of industry standards and certifications, including International Organization for Standardization (ISO) 27001, Statement on Auditing Standards (SAS) 70 Type I and Type II
---

 SAS70 を certifications に含めてしまっているようなので、日経BP社の記者が間違えたわけではないですね。
 Microsoftの発表資料が、あまり正確ではないようです。

 もっとも、SAS70についてこのように表現するのは、何もMicrosoftに限ったことではありません。
 米国ではどこもかしこも…ですね。

 
IT系資格ブログ
タグ:CISA CISM SAS70
nice!(0)  コメント(2)  トラックバック(0) 
共通テーマ:資格・学び

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。