管理の有効性評価
管理が適切な状況にあるかどうかの評価。管理とは目的を達成するための手段の体系です。目的vs.手段の相関。TQC(TQM)世代では違和感が無いはずです。ISMSでも同じです。
<目的と手段を数式で表す>
[目的]=[関数(手段)]
これがなかなか難しい。経営者なら基本はお金をベースに、売り上げ、利益、費用で見るだろうが単純には行かない。
ISMSはセキュリティリスクを下げること基本形だからリスク値を下げると素直に考えてよい。
セキュリティリスクと経営目標との相関についても検討されなければいけない。 セキュリティリスクは年間期待損失。
リスクを下げるために新たな管理策を打つとコストが掛かります。会社オールで見れば行って来いで同じだったら残念ですね。投資(管理策)100に対してリターン(リスク)100なら有効性は1.00なのかな。
ISMSでは有効性はリスク低減への効果の程度でしかありません。
1つの施策で1つの結果なら単純で良いですが、多くは複数の施策が複数の結果(複数資産のリスク低下)につながるので難しくなります。
しかも、出費はリアル、結果はリアルに補足するのが困難。期待損失額と実際の損失額を把握できるようになっていないとISMSをやっても意味が無いですね。ISMSに目標管理を持ち込むことが欠かせません。
以前からの課題であった適切な情報(システム)投資水準がどこにあるか、この問題と共通する問題ですね。
<従来のISMSでは不十分だったコスト評価>
何処の組織もリスクの現状を評価する作業が繰り返されるが、その中にコストが入ってくることは少ない。日常管理のコスト。問題発生時のコスト。是正処置・予防処置のコスト。これら実コストの把握は欠かせない。算定したリスク値(期待損失)とのギャップ評価も必要だ。
現状の定性的な理解だけで進めていても具体的な経営へのメッセージにはつながらない。
<セキュリティコスト評価>
T投資の部:T1既に実施した投資額+T2需要水準リスクを確保するために必要な追加投資額。
K効果の部:K1既に実施した投資による効果(算定額)+K2投資を実施していないことの効果(期待損失額、K3実現した損失を含む))
T<K
T1<K1
T2<K2<K3
累積的にみるのが本来。年度ごとに見る場合は償却コストなども入れる。
.*.