一度作ったきり見直されない基本方針の特徴
最初に一度作ったら、その後は殆ど見直されることがない、そういう基本方針が後を絶たない。基本方針だから、企業ビジョンとか理念とかと同じ感覚で策定してしまうのだろうね。中身を見ると極めて一般的なことが綴られている。いったい何が方針だろうかと思うくらいに普通の常識的なことが記載されている。つまらない。何処の会社の誰が作っても似たようなもの。社員にしても二度と見ることもないし、何の特徴もないから記憶にも残らない。
しかし、一方では、適切に見直されている基本方針もあります。マネジメントサイクルに組み込まれたものですが、経営のツールとして活用されていることが理解できます。
情報セキュリティ基本方針は所謂企業の「年度方針」と考えた方がぴったり来る。セキュリティだけが独立して企業内に展開されるのでなく、経営理念、経営方針が展開される中で、その一環として捉えられる必要があるのは、言うまでも無いこと。普遍的であれば、それは理念の中に反映されるべきかも知れない。
マネジメントレビューは基本方針の達成度を確認する場と考えたほうが分かり易い。
.*.
年度方針サイクル(当年4月-翌年3月)
4月:キックオフ 新方針スタート(新体制)
4~5月:新方針に基づくリスクアセスメント・リスク対応計画
6~12月:リスク対応
9月:中間レビュー
1月:内部監査
2月:マネジメントレビュー。次年度課題確定。
3月:次年度予算確定(方針・実施項目・方法論・コスト)
.*.