セキュリティ目標
ISMS ver2.0 からISO27001へ移行してから
セキュリティ目標という用語がなくなりました。
それはけして目標展開を実施しなくていい訳ではなく、
目標から目的へと意味合いが少し変わってきています。
それに加えて管理策の有効性評価の要求が出てきました。
これまでセキュリティ方針から目標展開をされている組織では、
新たに管理策の有効性の測り方に頭を悩ませるのではなく、
目標展開の中で管理策の有効性を評価してみて下さい。
また、ISO27001からマネジメントシステムに取り組まれる組織は、
セキュリティポリシーを策定してから管理策の測定方法を検討し、
これまでの目標展開と同様な流れで評価することを望みます。
別々に管理指標を決めて取りかかることは無意味ですね。
どちらにしても改善がどの様にはかられているかの指針ですね!