昨日の続きだったりする。なぜISMS等の認証が日本に合わないと思うかというと、ISMSの管理策＝正しいことでそれ以外は間違いと思い込みやすいんじゃないか？ってことだったりする。減点法の教育がまずかったと言うわけではないけど、何でもかんでも絶対の正解を求めようとするところがあるのかなぁ？という気がする今日この頃。だから、失敗するみたいな。
ISMSの管理策がどのような場合でも正しいわけではなく、場合によっては間違ってる場合もあるだろうし、別のよい方法があるかもしれない。でも、ISMSの管理策と照らし合わせて、出来てる、出来てないとやって出来てないところは管理策どおりにやろうとして現実と合わなくてうまく運用できないものが出来てるのかもしれないなぁ。管理策自体、正解集ではなくあくまで一般的にこうすればいいんじゃない？という指針なはずなので、場合によっては全く違うことが一番いい管理策なのかなと思う。そういう組織にとって一番いい方法を考えなきゃいけないんだろうなぁ。
いや、出来るコンサルタントはそういうこと考えてやってるんだろうけど、自分はそういう余裕がなかったので。