審査結果報告にある観察事項のグッドポイントって何ですか?
観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある。問題が無ければ問題無しだけで十分なのに余計な一言ははた迷惑だ。規格適合性といっているんだからそれに専念してくれと。
そもそも、グッドとする根拠は確かなのか?という疑問もある。社内の常識、業界の常識もあれば、誰かの単なる頑張りあるいは素質に着眼しただけのこともある。既に体質になっていること、体質化は無理なこと。そんなものをグッドと言われてもああそうですか以外に反応できない。
審査のパフォーマンスは見事としても、業務経験も業界経験も何も無い奴からグッドなんて言われたくない。それこそ失礼というものだ。ですが、その腹立ちをコンサルにぶつけないで欲しいものです。
とは言え、クライアントも人の子。グッドですと言われれば悪い気はしない。中にはグッドをたくさん貰いたがるクライアントもいるとか。
.*.
何も改善課題に相当することが見つけられず、代わりに何かグッドポイントにしている例もあるとか。無理やりのグッドポイントだから根拠も何もない。普通にしていたらグッドだって。勿論、誰かの憶測というか受け狙いの作り話だろうが。
.*.
最近はグッドポイント診断などと言って、強み発見のプログラムが開催されることがある、ISMSとは別の話だが、個人、組織を問わず、長所を正しく理解して伸ばしていく活動。気持ちもポジティブで元気にあり明るくなる。
ISMS審査のグッドポイントと勝手に混同すると悲劇。経営コンサルと勝手に勘違いした審査員の余計な一言は厳禁もの。
審査もコンサルも似て非なる手順を踏むし、審査員には副業でコンサルをやっている連中もいるから、眉唾。
ISMSのスキームの中に合否判定でなく、レベル判定が入るようになれば、本当に何がセキュリティ管理上優れているか分かるようになるが、今は無理。結果、ねじ曲がったグッドポイントが飛び込んでくることがある。
.*.