この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの一部の要素が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html .
このドキュメントは、技術委員会 ISO/TC 292, セキュリティとレジリエンスによって作成されました。
序章
複雑さは、多くのシステムの基本的な特性です。システムの運用には適切なレベルの複雑さが必要ですが、高度な複雑さはシステムを弱体化させる可能性があり、特に激動の時代には顕著です。システムの高度な複雑性は、すべての組織のセキュリティ、回復力、有効性、および効率性を妨げる可能性があります。組織のシステム、製品、プロセス、テクノロジー、組織構造、および契約がより複雑になるにつれて、組織は、より複雑で安全性の低いシステムの導入と普及に十分な注意を払うことができず、持続不可能になり、完全性を失う可能性があります。図 1 は、複雑さの導入によってパフォーマンスが向上する場所と、特定のポイントに達するとパフォーマンスが低下する場所を示しています。ポイント A は、パフォーマンスと複雑さの最適な比率です。
図 1 —パフォーマンスに対する複雑さの影響
ただし、組織の複雑さを無期限に増やすことはできません。複雑さが管理可能なレベルを超えると、たとえば相互依存関係がすべての要素が相互に接続される程度まで拡大すると、システムの動作は混乱します。したがって、組織の複雑さとパフォーマンスの関係は、図 1 に示すように逆 U 字型であると仮定されます[16] 。
組織のシステムの複雑さは、外部および内部の要因の影響を受け、多くの場合、さまざまな関係者によって実行される直接的または間接的な行動に関連しています。
組織の活動に関する日々の経営上の意思決定は、複雑さを生み出す傾向があります。
分散型の意思決定を行う大企業の場合、意思決定は、複雑さのコストと利益のトレードオフを評価せずに行われる傾向があります。
これらの決定は、顧客や競争上の利益を生み出さずに複雑さを増し、組織の脆弱性を増大させる可能性があります。
さらに、顧客、競合他社、サプライヤによる決定、および新しい規制の制定により、組織は新しいシナリオに適応するようになります。外部環境の複雑さが増すと、組織は機能ユニットの数を増やす可能性があり、これにより組織の機能的および構造的な複雑さが増す可能性があります。
機能の複雑さは、その管理システムと、指令、手順、およびレポートで設定されたビジネス プロセスによって特徴付けられます。
構造の複雑さは、組織の人々、製品とサービス、および資産の間のさまざまな要素と関係を扱います。
組織のシステムの複雑さを評価するには、相互作用が動的に変化し、非線形の法則で発展する多数のパラメーターを考慮する必要があります。
これは、あらゆるシステムのパフォーマンスと存続を損なう可能性がある激しさと頻度の増大するショックと不安定性によって中断される、激動の相互依存的な世界経済の文脈において特に当てはまります。
高度な複雑性は、「複雑性関連リスク」と呼ばれる新しい形態のリスクの重要な原因であり、システムのセキュリティと回復力を維持するために組織が対処および管理する必要があります。
このドキュメントの目的は、過剰な複雑さによって生じる脅威を考慮し、セキュリティ管理計画の不可欠な部分として複雑さの評価を検討するように組織を刺激することです。
1 スコープ
この文書は、原則の適用に関するガイドラインと、組織のシステムの複雑さを評価してセキュリティと回復力を向上させるためのプロセスを提供します。複雑性評価プロセスにより、組織はシステムの潜在的な隠れた脆弱性を特定し、複雑性に起因するリスクを早期に示すことができます。
このドキュメントは一般的であり、重要な資産、戦略的ネットワーク、サプライ チェーン、産業プラント、コミュニティ インフラストラクチャ、銀行、事業会社など、あらゆる規模と種類の組織システムに適用できます。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 22300, セキュリティとレジリエンス — 語彙
3 用語と定義
このドキュメントの目的のために、ISO 22300 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
複雑
多くの多様で自律的であるが相互に関連し相互に依存する構成要素または部分を含む組織システムの状態で、それらの部分が相互に、および外部要素と多端の非線形の方法で相互作用する
グレード 1 ~ エントリ:複雑性は、個々の変数の動作の合計としてのみ動作を決定できないシステムの特性です。
3.2
パラメータ
システムの要素の測定可能なまたは理論的な特徴を表す特定の値。
参考文献
| [1] | Perissinotti Bisoni CP, Cavallo V.、複雑性評価のための方法の開発への貢献。ピサ大学で経営工学の修士号を取得するための論文。家庭教師の Adarosa Ruffini 教授と Franco Failli 教授、2017 年 |
| [2] | Collinson S, Jay M, 複雑さからシンプルさへ: 組織の可能性を解き放ちます。パルグレイブ・マクミラン、2012 |
| [3] | ダオ B カーマンシャチ S シェーン J アンダーソン S ハレ E プロジェクトの複雑さの特定と測定。プロセディアエンジニアリング. 2016, 145 pp. 476–482 |
| [4] | Dao B, Kermanshachi S, Shane J, Anderson S, Hare E プロジェクトの複雑さの調査と測定。建設工学と管理のジャーナル。 2017年、143(5) |
| [5] | De Toni AF, De Zan G., Il dilemma della complessità.マルシリオ、2015 |
| [6] | GAPPS, グローバル レベル 1 および 2 プロジェクト マネージャー向けのパフォーマンス ベースのコンピテンシー基準のフレームワーク。プロジェクト パフォーマンス基準のグローバル アライアンス (GAPPS)、2007 年 |
| [7] | Greene RT, Managing-Complexity-30-Methods , pp. 489 |
| [8] | Hwang CL, Yoon K 複数属性の意思決定: 方法とアプリケーション 最先端の調査。スプリンガー出版社、1981 年 |
| [9] | Kermanshachi S, Dao B, Shane J, Anderson S プロジェクトの複雑性管理戦略の特定に関する実証的研究。プロセディアエンジニアリング. 2016, 145 pp. 603–610 |
| [10] | Kermanshachia S, Dao B, Shane J, Anderson S Project Complexity Indicators and Management Strategies — A Delphi Study.プロセディアエンジニアリング. 2016, 145 pp. 587–594 |
| [11] | Klutha A, Jägera J, Schatza A, Bauernhansla T, Method for a Systematic Evaluation of advanced Complexity Management Maturity , Robust Manufacturing Conference (RoMaC), 2014 |
| [12] | Levy DL, 組織理論と戦略における複雑性理論の応用と限界。マサチューセッツ大学、ボストン、米国、2000 |
| [13] | Marczyk J.、複雑さと回復力の評価。エド。デルファロ、2015 |
| [14] | Schuha G, Potentea T, Varandania RM, Schmitza T 世界の生産ネットワークにおける構造上の複雑さを評価するための方法論。プロセディアCIR 2013年7月号 67~72頁 |
| [15] | Schwandt A.、組織の複雑さの測定と組織のパフォーマンスへの影響 – 包括的な概念モデルと実証研究。 Dipl. Ing. Berlin, 2009 |
| [16] | Setiawan MA, ビジネス プロセスの複雑性分析のための統合フレームワーク。 ECIS 2013 調査完了。 AIS 電子図書館 (AISeL), 2013 |
| [17] | Setiawan MA, Sadiq S, 経験主導のプロセス改善。エンタープライズ、ビジネス プロセスおよび情報システム モデリング、2011 年 pp. 75-87 |
| [18] | Shannon LE, Weaver W, コミュニケーションの数学的理論。イリノイ州アーバナ大学出版局、1959 年 |
| [19] | Vidal L-A Marle F U J-C Delphi プロセスと Analytic Hierarchy Process (AHP) を使用して、プロジェクトの複雑さを評価しています。アプリケーションを備えたエキスパート システム。 2011, 38(5) pp. 5388–5405 |
| [20] | Zhu J, Mostafavi A プロジェクト システムにおける複雑さと新たな特性の発見: プロジェクトのパフォーマンスを理解するための新しいアプローチ。プロジェクト管理の国際ジャーナル。 2017, 35(1) pp.1-12 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Introduction
Complexity is a fundamental property of many systems. An appropriate level of complexity is required for systems operation, but a high degree of complexity can weaken the system, particularly during turbulent times. High system complexity could be an obstacle to the security, resilience, effectiveness and efficiency of all organizations. As organizational systems, products, processes, technologies, organizational structures and contracts become more complex, organizations may fail to pay sufficient attention to the introduction and proliferation of more complex and less secure systems that then become unsustainable and lose their integrity. Figure 1 explains where the introduction of complexity can improve performance, but where, after it reaches certain point, it will degrade performance. Point A is the best ratio between performance and complexity.
Figure 1—The impact of complexity against performance
Organizational complexity cannot be increased indefinitely, however. If complexity exceeds a manageable level, e.g. interdependencies expand to the degree that all elements are connected with one another, the system behaviour turns chaotic. Hence, the relationship between organizational complexity and performance is hypothesized to be inversely u-shaped, as shown in Figure 1 [16].
The complexity of an organization’s system is influenced by external and internal factors, often linked to direct or indirect actions carried out by different parties.
Day-to-day managerial decisions about the organization’s activities tend to generate complexity.
For large companies with decentralized decision-making, decisions tend to be made without the assessment of complexity cost and benefit trade-offs.
These decisions could add complexity without creating customer or competitive benefits and could increase the organization’s vulnerability.
Moreover, the decisions taken by customers, competitors and suppliers, as well as the enactment of new regulations, induce the organizations to adapt themselves to new scenarios. Increasing the complexity of the external environment may induce the organization to increase the number of functional units and this could increase functional and structural complexity of the organization.
Functional complexity is characterized by its management system and its business processes set out in directives, procedures and reports.
Structural complexity deals with the variety of elements and relationships among the people, products and services, and assets of the organization.
To assess the complexity of an organization’s system, it is necessary to take into account a large number of parameters where the interactions change and develop dynamically and in a non-linear laws.
This is particularly true in the context of a turbulent and interdependent global economy, punctuated by shocks and instabilities of increasing intensity and frequency, which can undermine the performance and survival of any system.
High complexity is an important source of a new form of risk called “complexity-related risk” that organizations have to address and manage if the security and resilience of its system are to be sustained.
This document aims to stimulate organizations to take into account the threat created by an excess of complexity and to consider complexity assessment as an integral part of their plan for security management.
1 Scope
This document gives guidelines for the application of principles and a process for a complexity assessment of an organization’s systems to improve security and resilience. A complexity assessment process allows an organization to identify potential hidden vulnerabilities of its system and to provide an early indication of risk resulting from complexity.
This document is generic and applicable to all sizes and types of organization systems, such as critical assets, strategic networks, supply chains, industrial plants, community infrastructures, banks and business companies.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
complexity
condition of an organizational system with many diverse and autonomous but interrelated and interdependent components or parts where those parts interact with each other and with external elements in multiple end non-linear ways
Note 1 to entry: Complexity is the characteristic of a system where behaviour cannot be determined only as the sum of individual variables behaviours.
3.2
parameter
specific value describing the measurable or theoretical features of the elements of a system
Bibliography
| [1] | Perissinotti Bisoni C.P., Cavallo V., A contribution to develop a method for the complexity assessment. Thesis for Master degree in management engineering at Pisa University. Tutors Prof. Adarosa Ruffini and Prof. Franco Failli, 2017 |
| [2] | Collinson S., Jay M., From Complexity to Simplicity: Unleash Your Organisation’s Potential. Palgrave Macmillan, 2012 |
| [3] | Dao B., Kermanshachi S., Shane J., Anderson S., Hare E., Identifying and Measuring Project Complexity. Procedia Engineering. 2016, 145 pp. 476–482 |
| [4] | Dao B., Kermanshachi S., Shane J., Anderson S., Hare E., Exploring and measuring project complexity. Journal of Construction Engineering and Management. 2017, 143(5) |
| [5] | De Toni A.F., De Zan G., Il dilemma della complessità. Marsilio, 2015 |
| [6] | GAPPS, A Framework for Performance Based Competency Standards for Global Level 1 and 2 Project Managers. Global Alliance for Project Performance Standards (GAPPS), 2007 |
| [7] | Greene R.T., Managing-Complexity-30-Methods, pp. 489 |
| [8] | Hwang C.-L., Yoon K., Multiple Attribute Decision Making: Methods and Applications A State-of-the-Art Survey. Springer Verlag, 1981 |
| [9] | Kermanshachi S., Dao B., Shane J., Anderson S., An Empirical Study into Identifying Project Complexity Management Strategies. Procedia Engineering. 2016, 145 pp. 603–610 |
| [10] | Kermanshachia S., Dao B., Shane J., Anderson S., Project Complexity Indicators and Management Strategies — A Delphi Study. Procedia Engineering. 2016, 145 pp. 587–594 |
| [11] | Klutha A., Jägera J., Schatza A., Bauernhansla T., Method for a Systematic Evaluation of advanced Complexity Management Maturity, Robust Manufacturing Conference (RoMaC), 2014 |
| [12] | Levy D.L., Applications and Limitations of Complexity Theory in Organization Theory and Strategy. University of Massachusetts, Boston, USA, 2000 |
| [13] | Marczyk J., Complexity and resilience rating. Ed. Delfaro, 2015 |
| [14] | Schuha G., Potentea T., Varandania R.M., Schmitza T., Methodology for the assessment of structural complexity in global production networks. Procedia CIRP. 2013, 7 pp. 67–72 |
| [15] | Schwandt A., Measuring organizational complexity and its impact on organizational performance – A comprehensive conceptual model and empirical study. Dipl. Ing. Berlin, 2009 |
| [16] | Setiawan M.A., Integrated Framework For Business Process Complexity Analysis. ECIS 2013 Completed Research. AIS Electronic Library (AISeL), 2013 |
| [17] | Setiawan M.A., Sadiq S., Experience Driven Process Improvement. Enterprise, Business-Process and Information Systems Modeling, 2011 pp. 75-87 |
| [18] | Shannon L.E., Weaver W., The Mathematical Theory of Communication. Urbana University of Illinois Press, 1959 |
| [19] | Vidal L.-A., Marle F., Bocquet J.-C., Using a Delphi process and the Analytic Hierarchy Process (AHP) to evaluate the complexity of projects. Expert Systems with Applications. 2011, 38(5) pp. 5388–5405 |
| [20] | Zhu J., Mostafavi A., Discovering complexity and emergent properties in project systems: A new approach to understanding project performance. International Journal of Project Management. 2017, 35(1) pp. 1–12 |