規格書を開いてみよう。頑張って読んでみると、大項目4の2.2以降からがＤｏにあたる…のではないだろうか。



特に、4.2.2のf）(←規格書の要求事項の記号)に「ISMSの運用を管理する。」とある。にもかかわらず、そのあとすぐの4.2.3に「ISMSの監視及びレビュー」と大項目を掲げてくるこのあたりで、だんだん眠くなってくるのは私だけだろうか。

え？運用を管理することに、監視することも含まれているんじゃないの？？と、頭がボーっとしてくるから睡魔さんがあいさつに来るのだけど、実はこれ、それぞれ主語が違うということらしい。
　JIPDECのF&Qによると前者はISMS自体に管理策を適用し、ISMSの運用に支障が出ない様に管理、監視すること、で主語が「ISMS」そのものであるのに対し、後者はその実装した管理策が適切かどうか、ちゃんと効き目があったのかどうか監視・見直しするという「管理策」が主語になっている、ということらしい。
規格書を読んだだけでは、ちょっとそこまではわからないような気がするけど、わざわざ同じような言葉を違う項目に書いてあるということは、そういうことなのだろう…。


　規格書を読むコツは、まず先にＩＳＭＳの全体の流れを頭に入れること、そのあとで、頭がぼーっとする睡魔さんポイントに来たら、そこを検索するなどして徹底的に調べること、だ。
解らない、ということは、そこに興味が持てない、というだけのこと。知らないだけであって、調べてみたら意外と面白いことにぶつかり、興味がもてることもある。無理、と切り捨てる前に、ちょっと謙虚な気持ちになって、調べてみるだけ調べてみよう。
そこには思いがけなく、楽しいことが待っているかもしれない。