嗚呼、勘違いの情報資産台帳
情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。
ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が作成されていないことが多いからです。
情報資産に特定しないで、組織の管理対象となる資産は何か洗う作業が必要になります。組織の資産の一部が情報資産です。組織の人・物・金を束ねるのが情報と見ておいてもいいでしょう。組織として既にQMSとかEMSとかで体系的な資産の洗い出しが済んでいれば、ISMSの作業は単純になります。
ところがマネジメントシステムに始めて取り組む場合は、組織の管理対象全体をしっかり把握してやることが大事です。ISMS以前の問題(やること)が転がっています。日ごろの管理の穴を埋めるところから作業は始まります。日常管理をしっかりやっているところと手抜きのところが同じレベルでISMSを始められるわけが有りません。
.*.
もっとも、手間を惜しむコンサルはそういうことを要求しません。今ある奴だけをリストすればいいと言うでしょう。彼らは、体裁だけクリアすれば認証が得られることを知っているからです。体裁だけの、箱ポンの管理では有効性は期待できませんが、経験を積んだコンサルは手を広げた時の泥沼も知っています。ですから、クライアントの取り組みレベルを見て妥当と思われるところで線引きをせざるを得ない事情もありますので、一部であってもコンサルを頭から非難することは適切では有りません。
.*.
(追記)
資産台帳とは関係ない話。安きに流れると馬鹿コンサルを掴み、馬鹿審査機関の餌食になる。本当に必要な改善はスルーされて時代から取り残される。セキュリティ事故が起きるまで放置される。その間散々貪られる。事故が起きても他のパートナーと組み勇気が示されなければ馬鹿の地獄と付き合い続けることになる。
馬鹿コンサルを思い出した。ヤクザ同然のコンサル。自分のコンサル内容の化けの皮を剥がされそうになったら急に審査に割り込んでくる。会場からたたき出すべきだった。当時はドリームとか佐藤とかの名前だったか。
馬鹿コンサルを許すのは馬鹿審査機関。
背に腹は代えられないとうそぶ居直る審査機関には馬鹿コンサルも仕事を持ってくる協力者。癒着構造が極端な審査機関の認証には何の価値もない。それどころか社会に勘違いさせる悪徳審査機関。
その代表的なところは外資(英国)系の審査機関。英国本国の審査機関は健全な発想でやっているので大丈夫だが、問題は日本法人。完全に歪んでいる。
*
東芝の話題は収まったかな。ここは審査機関を変えた。厳しい審査に耐えられないからイージーな対応で済ませられるところに乗り換え。日常管理をいい加減にして事故が起きたら必死に対応する腹だったのだろうか。しかし、そんな精神構造の集合体では今回の事件は対応不可の状態。
経営者をヨイショするだけの英国系日本法人の審査と経営者に真の改善を迫る正しい審査の違いが導いた結果の違いが目の前にニュースになっているようだ。
*
(追記)
資産台帳とは関係ない話。安きに流れると馬鹿コンサルを掴み、馬鹿審査機関の餌食になる。本当に必要な改善はスルーされて時代から取り残される。セキュリティ事故が起きるまで放置される。その間散々貪られる。事故が起きても他のパートナーと組み勇気が示されなければ馬鹿の地獄と付き合い続けることになる。
馬鹿コンサルを思い出した。ヤクザ同然のコンサル。自分のコンサル内容の化けの皮を剥がされそうになったら急に審査に割り込んでくる。会場からたたき出すべきだった。当時はドリームとか佐藤とかの名前だったか。
馬鹿コンサルを許すのは馬鹿審査機関。
背に腹は代えられないとうそぶ居直る審査機関には馬鹿コンサルも仕事を持ってくる協力者。癒着構造が極端な審査機関の認証には何の価値もない。それどころか社会に勘違いさせる悪徳審査機関。
その代表的なところは外資(英国)系の審査機関。英国本国の審査機関は健全な発想でやっているので大丈夫だが、問題は日本法人。完全に歪んでいる。
*
東芝の話題は収まったかな。ここは審査機関を変えた。厳しい審査に耐えられないからイージーな対応で済ませられるところに乗り換え。日常管理をいい加減にして事故が起きたら必死に対応する腹だったのだろうか。しかし、そんな精神構造の集合体では今回の事件は対応不可の状態。
経営者をヨイショするだけの英国系日本法人の審査と経営者に真の改善を迫る正しい審査の違いが導いた結果の違いが目の前にニュースになっているようだ。
*
