ですから、有効性評価は経営者がやるに決まっている。マネジメントレビューの最重要議題の一つ。
審査員はその有効性評価のやり方が適切かどうかを見る。そういう役割分担なんだろう。
.*.
議論好きは、管理策の有効性、ISMSの有効性、どちらの話をしているのかとやってくる。普通、目的と手段は相対的で、位置づけを適切に理解する必要はあるが、切り離しての議論は返って難しい。133項目の有効性は当然、ISMSの各スキームについても有効性の考え方は成立する。全体としてのISMSも企業や社会から見たら手段の一つ。だから、ISMSの組織への貢献度?もISMS有効性の一つになるだろうね。
経営者にISMS導入のねらいを聞く。定性的な狙いは誰でも言えるが、目的目標までいえる経営者は少ない。どうなったら、どういう水準を達成したら、満足できるか。答えられる人は本当に少ない。それはそうでしょう。売り上げ利益のほかに経営品質の管理指標を決めている会社なんか、ISMSに関係なく多くない。
議論好きな連中の大上段に構えた物言いにはうんざり。出来ることを一つずつやって積み上げていけば、少しずつ見えてくる期待がある。
適切な目的展開と指標展開の連鎖を探ることが、少しずつ出来るようになってくる。
経営目標をしっかり持っていなければ、ISMSの目標設定も曖昧になる。ISMSという一つの手段領域だけを取り上げて有効性とか言い始めても話は始まらない。
.*.
経営目標・経営年度計画から展開するトップダウンアプローチと現場の施策の積み上げるボトムアップアプローチと両方を見て、上手くつないでいくしかない。この作業を指揮するのは経営者ですかね。有効性評価が上手く行かない最大の要因は経営者あるいはIS管理責任者の目標管理ノウハウの不足。未熟。ボトムアップだけでは方向性を失い頓挫する。
.*.
- 「何のためにISMSを導入したのですか?」
- 「ISMSの目標レベルは明確ですか?」(ニュアンスとしては可能限り数値目標)
- 「今はどのレベルを達成していますか?」
AデルタT。始めの一歩です。ISMSを担当するどの経営者もその一歩を踏み出して欲しいものです。
.*.
