目標と目的の使い分けに関して
COM-B04-1.00-D04 「内部監査チェックリスト」の『6.2 情報セキュリティ目的及びそれを達成するための計画策定』について質問です。
基本的な語句の解釈が曖昧な為の迷いなのですが、「情報セキュリティ目的」で間違いないのでしょうか?
目標と目的の使い分けに混乱しています。
全社目標をブレークダウンして部門目標は理解できるのですが、全社目的をブレークダウンして部門目的とは繋がらなくて、説明に窮してしまいました。
「4.2 利害関係者のニーズ及び期待の理解」の「b) 1) 」の質問事項『基本方針には目標の設定や目的(全般的な方向性及び行動指針など)は明記され実施されていますか?』とあるので、別のものでは有ると思うのですが・・・。
「情報セキュリティ目的」で間違いはございません。
ここの「目的」という用語は、附属書SLでの「共通テキスト」の文言により使用されている用語となります。
※附属書SLに関しては、以下のURLでも説明しています。ご参考まで。
https://www.ismwebstore.com/materials/archives/2115
「目的」と「目標」に関してですが、「目的」が最終的に目指すものであり、「目標」がその“過程”で目指すものとなります。
例えば、「利益を上げたい」ということを目的と設定した場合、「今月の目標売上げ数値」などが「目標」です。
ただ、目標がより具体的に目指すものがあれば、その目標は目的にもなり得ます。
ちなみに、要求事項6.2のb)では、「(実行可能な場合)測定可能である。」とあるので、目的が目標であっても構わないということになりますね。
ISMSサンプル文書では、「6.2 情報セキュリティ目的及びそれを達成するための計画策定」にて、「当組織は、関連する部門及び階層における情報セキュリティ目的(目標)・・・」という表現を使っています。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
