ISMSの有効性
こんな簡単なテーマはありませんね。
リスク値の総和の最小化。うん?これは失敗。
無理でも金額ベースにすることです。年間期待損失。
経営・事業への貢献度で見る発想もありますが、これは駄目。続かない。一貫性が維持できない。方向まで変わる。
.*.
でもまあ実際にやっている話は聞いたことがありません。
ISMS認証取得でなんとなく営業がやりやすくなった。ぐらいでお茶を濁すのが大半。分かりやすい発想ですが、本末転倒というか問題が摩り替わっていますよ。
.*.
あっと、結果指標は駄目ですよ。事件とか事故の件数。その被害額。このデータは期待損失の検証に使うものでしょうか。そのことを発展させることも出来そうです。予測と実測の乖離の原因を探ることも大事なことです。
(A)実際の投資額、(B)実際の被害額、(C)期待損失(保有リスク・保有潜在損失)。
問い:この3項目の関係を述べよ。好ましい関係と好ましくない関係について論ぜよ!
.*.