「友の会」って?第三者認証制度の正しい理解
審査機関単位に友の会が催される。やらないところもあるようだ。クライアントが居ないとやりようが無い。懇親会・交流会。審査機関とコンサルファームとクライアントと。どうすれば次の認証も通るのか。新しい条件は無いのか。この審査機関は何にこだわるのか。規格解釈。軽微と重大の境界線。不適合と観察事項の境界線。気になるところはあるから、お付き合いと情報収集のために誘われれば出掛ける。まあ、いい営業の場にされてしまうことは分かっているが。
次から次に規格を繰り出してくるのはやめて欲しいね。ISO認証なんて、どうせマネジメント枠組みに過ぎないのだから、そう色々規格を用意することは自己矛盾~自己否定なのかと思う。
.*.
友の会なんて所詮癒着の場を醸成するものでしかないと言う声もある。第3者認証制度のなかで健全な癒着?を作り上げて円満に維持して行こうとするものかな。
.*.
<第三者認証制度をどのように理解するか>
審査はマネジメントの枠組みとその実施状況を見る。枠組みが機能しているかどうか。
経営者は、経営目標・事業目標を達成するための枠組みの一部としてISMSをとらえ、有用かどうかを判断する。有用性を否定できるなら止めればいいこと。ところが、その判断は感覚的、定性的でしかない。とても難しいことなのだ。経営目標を展開してセキュリティ目標にすることは。
(例)
「リピートユーザー」⇒「顧客信頼」⇒「セキュリティ安心感」
「コスト体質」⇒「セキュリティコスト見える化」⇒「ミニマム化」
この辺の情報交換の場になるのがベスト。枝葉末節に近い規格解釈とか管理上のノウハウとか事例紹介は月並みで、つまらない。本旨から外れていて馬鹿げていると思う向きもあるだろう。
.*.
小手先の話はある意味如何でもいいですね。世の中のセキュリティが適正化されればいいのです。商売が優先してセキュリティがおろそかになるようなことにならなければいいのです。売り上げと利益が優先してサービス品質(適切な品質)が後回しでは困るということです。
友の会はクライアントよりもコンサルタントに評判がいいこともあります。規格運用の基準が解説されることがあるからです。でも審査員は出席していませんからトラブルの原因にもなります。形式知化されにくい領域ですね。
.*.