http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/01/isms.html
全くその通りだと思う。結構ISMSの認証取得が目的とかしてるところ多いよねぇorz
セキュリティ対策の運用がしっかり出来ていることを客観的に確認するための道具のはずで、ISMS認証取得は絶対に目的ではないと思うのだけど。目的はセキュリティレベルを向上させることなんだし。
不二家も認証取得が目的だったみたいorz
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2007/01/_iso_fed7.html