ISO/IEC27001の「ISMS objectives」をJISでは「ISMSの目的」と訳しています。
ISO9001の「quality objectives」はJISでは「品質目標:品質に関して、追求し、目指すもの」とし、ISO14001では、「environmental objectives」を「環境目的:組織が達成を目指して自ら設定する。環境方針と整合する全般的な環境の到達点」とし、「environmental target」を「環境目標:環境目的から導かれ、その目的を達成するために目的に合わせて設定される詳細なパフォーマンス要求事項で、・・・」と使い分けをしています。
英語圏の人にとっては何ら不思議ではないものが、日本人は、「目標」と「目的」では、そのニュアンスが異なるようです。「目標」というと、どうも「数値」であったり、達成をしなければならないもののように思えますが、「目的」となるとなにかスローガン(標語)のような感じがして、「頑張ろう的」になりがちです。ISO14001は分かりやすいですね。
ISO/IEC27001では、「control objectives」を「管理目的」と訳し「管理策を実施した結果, 達成されることになる事柄を説明した記述。」とあります。わかりにくいですが、ISO/IEC27001からJISを制定するに際しては、随分と苦労されたようで、「ISMS目標」とすると、QMSの品質目標のように「数値でなければいけない」と解釈されそうだ(本当は、達成度が評価できれば定性的でもよい)、いやまてよ、「管理目的」と言ってきたので、それと同様に「ISMSの目的」としよう、となったようです。(たぶん)
ISMSの目的で多いのは「セキュリティ事件・事故 ZERO」です。悪くはありませんが、当たり前で、「QMSのクレームZERO」と同じですね。「セキュリティ事件・事故 ZERO」は、KGI(Key Goal Indicator)といえます。KGIは,「結果」としての評価と言えます。
マネジメントシステムとしては、活動に繋がりにくいので、このKGIを達成する為に,マネジメントを行う上での,課程やプロセスの管理指標として,適切なKPI(Key Performance Indicator)をセットで設定するとよいと思います。KPIをコントロールしていくことで,最終目標のKGIを得ることができます。KPIに対しは具体的なアクションプランがたてやすいです。
また各人、それぞれ達成感を持つことができ、ISMSの運営に役立つ有効な目標となるのではないでしょうか。
参考:KGIとKPIの解説
「KGI」は、Key Goal Indicator,「KPI」は、Key Performance Indicatorの略です。
各組織は、経営戦略、戦術、プロジェクト、日常管理のレベルで設定された「目標」(なにを:KGI、どのレベルで:KPI)に沿って活動が行われているかを、具体的、客観的にその対象物の状況を把握して、計画と異なることが分かれば、迅速に、重要度に応じて適切にアクションをとる必要があります。
「KGI」とは、企業の経営戦略から導かれる成果を数値で示したもので、最終的な成果指標として設定します。 例えばKGIが「機密情報への不許可のアクセスを防ぐ 100%」も「セキュリティ事件・事故 ZERO」など期末にならないと分かりませんし、一度事件・事故が発生するともう今期の目標は未達となり、その後気が抜けてまた事件・事故を起こすかも知れません。
「KPI」とは、KGIに行き着くまでの手前の業務遂行上の指標です。例えば、アクセス権の設定100%とか、日々日常的に決められたルールを守るとか、絶対に安全と確認できるまで外部からのメールの添付ファイルは開かないとかです。
ボーリングでいうと、最終的にはどのピンに当てるという目標(KGI)は定めるが、より正確に狙うために中間目標であるスパッツ(KPI)を目がけて投げるようなものです。
0 件のコメント:
コメントを投稿