新潟県安吾賞の宣言書はシンプルで分かりやすいですが
適用宣言書の作り方
これはどこかに解説書でも出ているのではないでしょうか。コンサルに出掛けるたびにマトリクス氷河顔を出す。どういう必然性があるんだろう。
脆弱性評価で出てくる。
現在取っている数々の施策(アクティビティActivity)。
リスクアセスメントの結果、新たに導入するいくつかの施策(アクティビティActivity)。
アクティビティの数が数十で収まればいいが、下手すると、数百に及ぶ。手作業の限界かも。数千ってことも組織規模によっては、纏め方によってはあり得る。内容的に重複するアクティビティあるから、これをどのように整理するかもコンサルのノウハウとなる。
一つのアクティビティを取り出して、付属書Aのどの管理策に該当するか確認する。この作業が冒頭のマトリクスを使ってやることになる。横に133個を並べ、たてにアクティビティを並べる。1万個のセルを埋めていく作業になるわけだ。
133個の管理策で、1箇所でもチェックがあれば、それは採用と言う判断。
適用宣言書に記載する内容:
- 管理策(#1-133)
- アクティビティ=管理策の中身として実際に実施している内容。
- 管理文書=アクティビティ詳細手順を記載している管理文書。
.*.
単純な作業実見える。脆弱性評価が出来たらの話だから、このマトリクス表に来るまでが又大変なんですね。
.*.
この基本的な手順を何も踏まないで適用宣言書を作っている組織もあります。コンサルも手抜き? 時間が無いからではなくて、クライアントの不理解が原因。