継続的な評価は重要だと思います。単発でその断面だけ評価しても、それは、その時点での評価であり明日は違う。明後日は更に違う。1年後なんてやった意味あるの？くらいではないでしょうか。

イメージしてください。子供の成長はその断面で見て、一生分の評価できないですよね。それと同じです。仮に成長しない子供がいたとしても、その子を取り巻く環境は変わり続けます。環境が変われば評価項目も時代に合わせ変わります。

セキュリティだって同じ

セキュリティだって同じです。その時は盤石な環境だったとしても、明日には脆弱性が見つかるかもしれないし、新しい攻撃手法が編み出されるかもしれません。だからこそ、継続的な評価をすることで今も将来も守れるのではないですか？

評価される側だけだと片手落ち

評価って、される側だけ継続評価され続けても、毎回同じ評価だとダメですよね。評価する側も常に時代に合わせ変わり続ける必要があります。
当たり前な話です。
常に最新の評価基準で評価し続けること。これが重要なんだと思います。

金の捻出

評価するのって金かかるの知ってる。ただ、なんか問題起きましただと、全システムチェックがもれなく発動します。そのかかるコストを試算して、そこから説得材料つくるとか、ちょっと見せ方変えるだけで、納得いってくれるかと。ただ、リスクを提唱して、それに対しこんだけ掛かるけどやらせて！は、私が経営層でも納得いかないですよ
「いつ来るかわからない脅威に対しセキュリティ対策を講じる」のもいいですが、「いつ来ても盤石な環境であることを確認する」セキュリティ対策もいいのではないでしょうか。

Lets create money!