去年在一次的機會中,我看到一家正在推動ISMS(ISO 27001)認證的公司,在會議室的桌上放了一個小立牌。上面寫了一些有關資安的標語,以及其資安的目標。其中一個目標是「每個員工每年至少接受30小時的資安相關訓練」(時間我忘記了,不過那不是重點)。看到這句,我當下的反應是笑了出來,這家公司找的顧問是不是太混了點。
首先,這句話應該是評量的指標,而不是目標。目標指的是你的目的,但是我實在不知道哪一家公司的目的會是讓員工受訓。所有公司進行員工訓練,就算不是希望透過加強本質技能以有效進行工作上的任務,至少也是滿足遠足員工追求成長的心態。如果真是為了受訓而受訓,那公司倒不如把錢拿去丟在許願池還可以許不少願望。
而指標就是為了評估達成目標的”程度”,可分為量化與非量化兩種。通常,我們會希望選擇量化的指標(也就是可以用數字顯示的),因為這樣指標的比較較為客觀。當然,量化指標的比較結果要有效而且客觀,就必須找出有意義的指標。以這個例子而言,雖然是一個量化的指標,但是卻沒有任何實際的意義。簡單來說,如果某個接受訓練的員工睡了30個小時,跟另一個員工認真聽了30個小時的員工,達成目標的程度都一樣嗎?當然,評估上課時數很簡單,但是卻一點意義都沒有。
其實,這個就是長久以來ISO(或其他類似認證)為人詬病的部分。他只能規定你要用做到哪些項目,但是怎麼做、做到甚麼程度,它沒有辦法限制。這部分通常就是顧問的責任,而一般的顧問往往就是套表、套表、套表。套表的結果可想而知,就是一堆最基本、最保險而且最不實用的方法。不過,我個人倒不認為這應該算是ISO的錯,因為ISO本身本來就無法而且不適合用來規範要怎麼做。而這樣的問題是因為客戶跟顧問之間,沒有達到足夠的共識(對資安有真正助益的共識)所造成的。
當時我好心的提醒了那家公司負責推動ISMS的主管,他說他知道,但是以後再來改進。說的對極了,ISO本來就是強調PDCA不斷改進的流程。但是,我真正想了解的是,對企業而言,不斷改進是執行時的精神,還是已經變成了導入不適用措施時推託的藉口。
沒有留言:
張貼留言