很多管理體系標准中,在定義管理體系持續改進時,都會要求從體系的適宜性、充分性和有效性三個方面考慮。
比如,在ISO27001:2013版標准的「9.3管理評審」章節中,是這樣定義的:
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
最高管理者應按計划的時間間隔,評審組織的信息安全管理體系,以確保其持續的適宜性、充分性和有效性。
這三個管理體系術語,對很多人會造成很大的困惑,不太理解到底是什么意思。通過這篇文章,我對這三個術語進行一個通俗的解釋。
1、適宜性(Suitability)
什么是所謂的適宜性?通俗來講,就是合適還是不合適。
好比一個人穿衣服,所謂的「適宜性」就是合身還是不合身,相對於穿衣服的人來說,就是衣服大小或肥瘦的問題,衣服太大、太小、太肥、太瘦都是不合適的。只有衣服大小肥瘦合適了,才能說衣服的「適宜性」比較好,如果還不夠好就需要對衣服進行修剪。
對於管理體系也是一樣,大型企業的管理機制在小型企業無法運行,小型企業的管理機制也不適合大型企業,這就是管理體系適宜性的問題。
2、充分性(Adequacy)
什么是所謂的充分性?通俗來講,就是足夠還是不足夠。
好比一個人穿衣服,所謂的「充分性」就是感覺暖和還是寒冷,相對於穿衣服的人來說,就是衣服多少或薄厚的問題。如果在天氣炎熱的季節,就需要少穿衣服,或者穿些比較薄的衣服;如果在天氣寒冷的季節,就需要多穿衣服,或者穿些比較厚的衣服。
對於管理體系也一樣,沒有一家企業會對所有環節都進行統一強度的管理,關鍵環節要加強控制,不關鍵的環節盡量少投入一些資源與精力,這就是管理體系充分性的問題。
3、有效性(Effectiveness)
什么是所謂的有效性?通俗來講,就是有沒有達到目的,對目標的貢獻有多大。
好比一個人穿衣服,所謂的「有效性」就是有作用還是沒作用,相對於穿衣服的人來說,就是衣服貢獻大或小的問題。如果在一個商務場合,就需要穿西服正裝出席,穿的太休閑效果就會大打折扣;如果是消防員在火災現場救火,就需要穿專業的防火耐熱衣服,穿的不專業可能會導致災難性后果。
對於管理體系也一樣,如果給企業經營帶來應用的貢獻,管理體系的有效性就比較好,相對應的資源投入是值得的;如果沒有給企業經營帶來應有的貢獻,管理體系的有效性就比較差,還需要進一步改進與完善。