情報セキュリティに限らずマネジメントシステムの本質的目標は顧客満足の向上です。
では顧客のニーズは何でしょうか。簡単には次の3つが基本になります。
1. 顧客情報の機密を維持した業務遂行
2. 業務における情報の正確な取扱い
3. 速やかな業務遂行
上記3つがバランス良く達成できれば、顧客満足が向上し、ISMSが達成されたことになります。
では上記3つを本当にバランス良く達成できるっでしょうか。
例えば、機密と正確さを目標通り達成したが、顧客から仕事が遅いとクレームされたらどうしますか。
つまり顧客は何を一番重視しているかで、「速やかさ」を重視する顧客には、機密や正確さに多少リスクを残して、速やかなサービスを達成しなければなりません。
そこでこの「速やかさ」が達成できたら、それを維持しつつ、機密、正確さの向上を改善していく訳です。
極端な具体例をあげると、ある業務サーバがあります。運用担当者は不正アクセスによる機密漏えいが心配なあまりサーバを止めてしまいます。これで不正アクセスは絶対防げますから、機密は完全に達成できました。但し、速やかさ=可用性はゼロです。要するに機密を維持する為に業務効率を下げていませんか?