「規格4.2.2 d」管理策の有効性の測定と利用の定義とは:
ここは、管理目的に対して管理策の有効性評価の測定方法を決め、且つ管理策の有効性評価を行うために、測定結果の利用方法を決めるところです。
管理策の有効性の測定は,「管理策が管理目的を達成していることを管理者及び要員が判断することを可能にする」と注記に示されています。 従って、現在に管理策は、その上位の管理目的に対して、どの程度みたしているかを、何らかの評価指標を決めて、また評価基準を決めると考えられます。 管理策の改善を目的とすると考えてよいともいます。
ISO9001で例えると、「8.2.3プロセスの監視及び測定→8.4データ分析→7.5.2製造及び」サービス提供に関する妥当性確認→8.5改善」あたりの取組方法や評価基準を決めると言うことでしょうか。何か問題があれば「是正」、ありそうであれば「予防」、管理目的を達成するためにもっとよい方法があれば「改善」するための活動です。決して管理策を重厚にすることを意図しているのではなく、智恵を発揮してシンプルな管理策とすることも含みます。
規格「4.2.2 b」では関連するものとして「4.2.3 c」参照とありますが,「4.2.3 b」とは書かれていません。プロセスの繋がりから考えると、「4.2.2 b」→「4.3.1 g」→「4.2.3 c」→「4.2.3 b」→「7.2 f」でしょうか。
「規格4.2.3 c」管理策の有効性を測定とは:
ここは、上記の規格「4.2.2 b」で定めた方法で、管理目的に対して管理策がどの程度有効かを測定するところです。それ以外のなにものでもありません。
「規格4.2.3 b」管理策の有効性のレビューとは:
ここでは、ISMSの有効性をレビューするために,「セキュリティ管理策」のレビューを行えと言っています。 このレビューでは,有効性測定の結果以外にもISMS基本方針及び目的を満たしていることのレビューと同様に,多くの要素(前スライド参照)を考慮せよと言っています。
あくまでも「ISMSの有効性のレビュー」の一要素として「セキュリティ管理策のレビュー」を求めていることから,4.2.2 d項だけが評価とするのではなく,4.2.3 c項(管理策の有効性測定)の「結果も」考慮せよといっています。 管理策の有効性のレビューは,管理策の測定結果だけではないよと規格は言いたかったのでしょう。
また,4.2.3 b と4.2.3 cはプロセスの繋がりとして後先となっているように見えますが,アングロサクソン人のトップダウンの思考回路を考えると、重要であるのはレビューであって、そのネタとしての測定は、その一要素であると言いたかったのかもしれません。
0 件のコメント:
コメントを投稿