很多管理体系标准中,在定义管理体系持续改进时,都会要求从体系的适宜性、充分性和有效性三个方面考虑。
比如,在ISO27001:2013版标准的「9.3管理评审」章节中,是这样定义的:
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
最高管理者应按计划的时间间隔,评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
这三个管理体系术语,对很多人会造成很大的困惑,不太理解到底是什么意思。通过这篇文章,我对这三个术语进行一个通俗的解释。
1、适宜性(Suitability)
什么是所谓的适宜性?通俗来讲,就是合适还是不合适。
好比一个人穿衣服,所谓的「适宜性」就是合身还是不合身,相对于穿衣服的人来说,就是衣服大小或肥瘦的问题,衣服太大、太小、太肥、太瘦都是不合适的。只有衣服大小肥瘦合适了,才能说衣服的「适宜性」比较好,如果还不够好就需要对衣服进行修剪。
对于管理体系也是一样,大型企业的管理机制在小型企业无法运行,小型企业的管理机制也不适合大型企业,这就是管理体系适宜性的问题。
2、充分性(Adequacy)
什么是所谓的充分性?通俗来讲,就是足够还是不足够。
好比一个人穿衣服,所谓的「充分性」就是感觉暖和还是寒冷,相对于穿衣服的人来说,就是衣服多少或薄厚的问题。如果在天气炎热的季节,就需要少穿衣服,或者穿些比较薄的衣服;如果在天气寒冷的季节,就需要多穿衣服,或者穿些比较厚的衣服。
对于管理体系也一样,没有一家企业会对所有环节都进行统一强度的管理,关键环节要加强控制,不关键的环节尽量少投入一些资源与精力,这就是管理体系充分性的问题。
3、有效性(Effectiveness)
什么是所谓的有效性?通俗来讲,就是有没有达到目的,对目标的贡献有多大。
好比一个人穿衣服,所谓的「有效性」就是有作用还是没作用,相对于穿衣服的人来说,就是衣服贡献大或小的问题。如果在一个商务场合,就需要穿西服正装出席,穿的太休闲效果就会大打折扣;如果是消防员在火灾现场救火,就需要穿专业的防火耐热衣服,穿的不专业可能会导致灾难性后果。
对于管理体系也一样,如果给企业经营带来应用的贡献,管理体系的有效性就比较好,相对应的资源投入是值得的;如果没有给企业经营带来应有的贡献,管理体系的有效性就比较差,还需要进一步改进与完善。