前々回、2009年11月14日投稿の 「セキュリティを上げないISMS導入は可能か。【着想】」 に
鋭いコメントをいただきましたので、その視点で検証をしてみたいと思います。
※この「セキュリティを上げないISMS~」シリーズは、
「楽に認証を受けること」を主題としたものではありません。
セキュリティのレベルを上げることだけを考えて
現場の業務において無駄な苦労を産んでしまうことを避けることが主題です。
【教育】
QMSについても言えることですが、「必要な力量」を決定するって、結構難しいことですね。
おそらく、「どの程度まで具体的に定めればよいのか?」と頭を抱えている企業も多いことでしょう。
が、それはまた別の機会に論じたいと思います。
ただ、「組織全体での教育」という活動自体、
品質はともかくセキュリティについて、ISMS導入前にすでにやっている企業は少ないと思います。
たとえ現場の可用性を重視し、(導入前より)ルールを厳しくしないISMSであっても、
情報資産の棚卸同様、イチから始めなくてはいけない活動です。
マネジメントする側にとっては「新たな負担」です。
ですが、「必要な力量」を、現場の実情から乖離しないように設定すれば、
「必要な力量が持てるように施す訓練」も過剰にならないでしょうから、
現場への負担を最小限に抑えることが出来ます。
【内部監査・マネジメントレビュー】
どちらかというと現場ではなく「マネジメントする側」の問題なので、
前々回は特に取り上げませんでした。
ただ、内部監査は嫌が応にも現場が関わることになりますので、
それを最小限に抑える手法を考えてみます。
規格は、内部監査で現場を監査することを要求してはいません。
そこで、内部監査の主たる対象を、現場ではなく現場の管理職に絞ってみてはどうでしょう。
マネジメントシステムは文字通り、マネジメントのためのシステムなのですから、
現場をちゃんとマネジメントしているか、出来ているか、それで成果が上がっているかは、
現場をマネジメントしている管理職を対象に監査するのが筋のはずです。
現場を対象に内部監査を実施し、現場がルールを守っているかを監査する企業もあるようですが、
(それがいけないとは言いませんが、)
本来それは現場の管理職が日常的にやっていなければいけないことですので、
内部監査でやらなくてもいいはずです。
もっとも、全く現場を見ない内部監査と言うのもどうかと思うので、
現場の管理職への監査を補足する形で、少しだけ現場に協力していただく必要はあります。
早い話が、審査機関による認証審査、定期審査と同じスタイルを採用するということです。
<次回予告>
【133の管理策】 【管理策の有効性の測定】 を扱います。