掲示板お問い合わせランダムジャンプ

Google広告

2007年09月11日
ISMS拡大時の注意事項
ISMSを部分的に取得してから、漸次拡大は普通のシナリオですが、注意すべきことがあります。

先行して”作ってしまった”ISMSに拘ると失敗します。

一言で言えば、適用範囲の特性に見合ったISMSでないものを無理やり当てはめる懸念があるということです。

腕力が十分あれば別ですが、普通は拡大すると、どうでも良い部署も取り込みますから、最初のISMSが必ずしも適当でありません。一端、最初のものを捨てるくらいに考えないと失敗します。これも、審査機関〜審査員が下手だと最初に作ったものに拘って是正が効きません。事務局も作り直しは普通嫌がります。

でも作り直しが一番まともで理にかないます。

この簡単なことに気付く組織は少なくありません。手間を惜しむと高く付くというより、お仕着せのISMSではPDCAは回りません。事務局だけが体裁を取り繕って空回りさせている無意味なISMSになります。

[ 投稿者:ISMSNEWS at 10:06 | (道草) | コメント(0) | トラックバック(0) ]

2007年09月07日
One Management System
「一つのマネジメントシステム」

ISO9000から始まって、ISO14000、ISO27000と来て、今後もどんどんマネジメントシステムの認証制度が出てくる見込みですが、一体、いつまで?どこまで?やれば気が済むのでしょうね。

認証ビジネスのために、あれもこれも振り回されているのか、それだと困ったものです。

実際に、世の中で問題が出て、其れへの対応が不十分だから、個別に専門的に対応している。これは、何かを運用を誤ったからです。認証制度がビジネス的にメリットする人は構わず広げていったですが、流石に過ちに気が付いて、今度は統合マネジメントを言い始めた。最悪ですね。恥の上塗りみたいなもの。問題を更に悪くしている。

[ 投稿者:ISMSNEWS at 17:35 | (道草) | コメント(0) | トラックバック(0) ]

意味の無いリスクアセスメント
ISMSを始めようとすると、手始めに問題になるのがリスクアセスメント。特に、変な審査機関というか審査員にぶつかると、ただのリスクアセスメントでは収まらず最悪。所謂、潔癖症症候群の審査員先生です。PDCAが回り始める前に息絶えます。この手の先生を素早く見抜いて、さっさと忌避できれば、深手の傷を負わずに済みますが、その見抜く方法は、適用範囲の確認のときに簡単に出来ます。リスクアセスの結果が適用範囲の記述に反映しているようなことを期待している節を見せる審査員先生は要注意と言うか即忌避ですね。

意味の無いリスクアセスメントになるのは、全点網羅型の資産台帳が出発点で
す。潔癖先生の言い分は、どのように重要な資産を洗い出したかを明確に!ですが、全ての失敗はここから始まります。そこが潔癖先生ならではです。

ではどうするか。

取り敢えず重要と思われるもの。そのカテゴリーあるいは定義を先に決めてしまう。方針の一環として、プロセス特性に応じた内容でも共通のものでも構わな
い。適用範囲を拡大しながら進めるときは、成長に応じて識別要求を区分しても構わない。

一気にやって負荷を掛けないこと。少しずつ進める。トップを諌める。急発進・急ブレーキは怪我の元。

それでも、意味の無いリスクアセスメント

それは既に分かっていることしか分からないと言う現実です。リスクアセスメントと言う形を記録で作っても、新たな発見は殆んど有りません。それはリスクアセスメントのスキームがそうなっているからです。即ち、リスクアセスメントでは既に認識できている脅威・脆弱性を並べる訳で、新しいものは殆んどの場合ありません。最初から問題と分かっているものを単にリスク評価シート等の構造図上に展開したに過ぎないからです。

トップの「四の五の分析なんかやってないで、さっさと対策してよ」になる訳です。

身体で感じているリスクを文書・記録にする作業だと割り切れば、負担も無く
さっさと出来ます。

「リスクアセスメントとは、未知のリスクを発見する手順でなく、既知のリスクを構造的にあるいは定量的に理解する手順」

網羅性の呪縛から漸く抜け出ることが出来ます。

ではリスクはどこで認識されるか。通常の業務プロセスの中で認識できます。というより其処でしか本当のリスクは見えてこない。もっとも感性を磨く活動なんかは当然必要ですが、いずれにしても現場です。

[ 投稿者:ISMSNEWS at 15:50 | (道草) | コメント(0) | トラックバック(0) ]