目標と目的の使い分けに関して
COM-B04-1.00-D04 「内部監査チェックリスト」の『6.2 情報セキュリティ目的及びそれを達成するための計画策定』について質問です。
基本的な語句の解釈が曖昧な為の迷いなのですが、「情報セキュリティ目的」で間違いないのでしょうか?
目標と目的の使い分けに混乱しています。
全社目標をブレークダウンして部門目標は理解できるのですが、全社目的をブレークダウンして部門目的とは繋がらなくて、説明に窮してしまいました。
「4.2 利害関係者のニーズ及び期待の理解」の「b) 1) 」の質問事項『基本方針には目標の設定や目的(全般的な方向性及び行動指針など)は明記され実施されていますか?』とあるので、別のものでは有ると思うのですが・・・。
「情報セキュリティ目的」で間違いはございません。
ここの「目的」という用語は、附属書SLでの「共通テキスト」の文言により使用されている用語となります。
※附属書SLに関しては、以下のURLでも説明しています。ご参考まで。
https://www.ismwebstore.com/materials/archives/2115
「目的」と「目標」に関してですが、「目的」が最終的に目指すものであり、「目標」がその“過程”で目指すものとなります。
例えば、「利益を上げたい」ということを目的と設定した場合、「今月の目標売上げ数値」などが「目標」です。
ただ、目標がより具体的に目指すものがあれば、その目標は目的にもなり得ます。
ちなみに、要求事項6.2のb)では、「(実行可能な場合)測定可能である。」とあるので、目的が目標であっても構わないということになりますね。
ISMSサンプル文書では、「6.2 情報セキュリティ目的及びそれを達成するための計画策定」にて、「当組織は、関連する部門及び階層における情報セキュリティ目的(目標)・・・」という表現を使っています。
