ISO 27000認証は攻撃されるリスクを高めますか?
クライアント(銀行)に、なぜISO 27000規格に認証されないのか尋ねました。答えは、彼らが認定した場合、攻撃されるリスクが高まるということでした。
それは意味がありますか?ハッカーは、特定の企業が認定されていることを認識できますか?私の考えでは、会社がそれを公に述べなければ、誰もそれを知ることはありません...また、これは銀行なので、本質的にある程度のリスクをすでに持っています。
ISO認定組織であるため、攻撃のリスクが高まるとは思いません。
ANSI(統治標準化団体)は、ISO認定組織の商号を公開していません。 ISO 27001認定組織を検索する機能を提供している組織もありますが、それらの組織は自発的に登録することを選択しています。
私は、もう1つのドライバー(コストが高く、時間のフットプリントが大きい、運用ワークフローの実装)が、認定されることへの欲求の欠如の背後にあると思います。