ISO無料プレゼント

フロントページ

選ばれる理由

理由1:面倒な作業を全て代行 理由2:一理30万円 理由3:スピード対応 理由4:審査に自信 理由5:確かな実績 理由6:ニーズに応える対応力

ISO総合研究所は、PマークやISMS(ISO27001)の取得・認証・運用代行も行っております。

Pマークの新規認証、運用代行ならPマーク総研 ISMS(ISO27001)の新規取得、更新運用代行ならISMS総研 内部監査員養成講座
ISO9001 4月26日 発売 総合研究所 専務取締役会 古江一樹監修 ISOについてもっと知りたい!ISOの基礎知識

ISO総研新着情報

  • 神奈川県綾瀬市のA社のサポートが決まりました!!
    ご契約ありがとうございます!

  • 京都府京都市のB社のサポートが決まりました!!
    ご契約ありがとうございます!

  • 京都府京都市のK社のサポートが決まりました!!
    ご契約ありがとうございます!

  • 大阪府大阪市のN社のサポートが決まりました!!
    ご契約ありがとうございます!

ISO総研新着情報一覧

お客様からのありがとう

  • 京都府 N社様

    『ISO総研さんに頼むと、無駄な作業が減ってありがたいです。』

  • 神奈川 I社様
    『ISO総研さん入ってスリム化してもらってるので 従業員は楽できるようになってきましたよ。』

  • 京都府 D社様

    『書類作ってもらえるのも助かるけど、 印刷してファイルしてくれるのがほんとに助かってます』

  • 京都府 O社様

    『ISO総研に頼んだことで重たい仕組みが無くなりました。』

  • 愛知県 O社様

    『仕事が丁寧なんで信用できます。』

  • 愛知県 S社様
    『内部監査を自分たちでやらないでよくなるなら

    やっとまともに仕事できるようになるので助かります。』

  • 大阪府 P社様
    『ほんと不安でしたけど、問題なく審査終って
    安心しました。』

  • 神奈川 O社様
    『御社にお願いしないとISO維持できないので、
    値上げになっても続けさせてもらいますよ。』

  • 兵庫県 S社様

    『ISO総研さんに頼んでからホンマに楽させてもらってますよ。』

  • 大阪府 N社様

    『2015年度版対応も進めてくれてるんですね。安心しました。』

お客様からのありがとう一覧

新着 ISOコラム

  • ISO9001:2015(QMS):2015年度規格改訂 9.1項「監視,測定,分析及び評価」を総務部社員が強引に規格解釈してラーメンを評価する (独自解釈編)

    PAK85_ra-mensusurugaikokujin20140531_TP_V

     

     

     

    ISO9001:2015(QMS):2015年度規格改訂 9.1項「監視,測定,分析及び評価」を総務部社員が強引に規格解釈してラーメンを評価する (独自解釈編)

     

     

     

    いつも本ブログをご愛読いただき、誠にありがとうございます。

    ISO総合研究所コンサルタント…ではなく、総務部の岸です。

     

    「え?コンサルタントじゃないの?総務部なの?(笑)」というブログをお読みの画面の前の皆様のお声が、電脳世界を通じてひしひしと聞こえて気がします。

     

    これは私の、いや…このブログそのものに関わる、大きなチャレンジです。

    「どういうこと?」と思われる皆様、少しばかりお付き合い下さい。

     

    このブログ、毎日1つずつアップされております。

    ISO9001:2015(QMS)のことも書かれておりますが、読んでも私には中々ちんぷんかんぷんです。

     

    ところで…このブログを書いている2016年06月29日の水曜日、時計は午後10時を指しております。

     



     

    ……

     

    ………

     

    …………今回はなんと私が書きます!しかし筆が進まないっっっ!!!

     

    さて、困りました。

     

    困りました、とても困りました。

     

     

    (ブログ………………書けば……んだ…)

     

    …え?今、誰か話しかけました?

     

    (とりあえず書けば良いんだよ)

     

    え?声が聞こえる?

     

    (ブログは)

     

    ブログは?

     

    (とりあえず書けば)

     

    とりあえず書けば

     

    (良いんだよ)

     

    良いんだよ

     

    (ブログはとりあえず書けば良いんだよ)

     

    …いや誰!?急に何!?

     

    (僕はラーメンの妖精さ)

     

    ラーメンの妖精?

     

    (君は、ラーメンが好きかい?)

     

    大好きです!

     

    (文章を書くのは嫌い?)

     

    う~ん…好きでも嫌いでもないです…

     

    (今、困っていることはない?)

     

    ISO9001:2015(QMS)のブログの筆が進みません!

     

    (では、とりあえず書けば良いのでは?)

     

    …え?

     

    (だから、ラーメンが好きでISO9001:2015(QMS)のブログの筆が進まなくて困っているのなら)

     

    なら?

     

    (とりあえず書けば良いんだよ)

     

    いや、ISO9001:2015(QMS)のこと何一つ知らないのに書けると思いますか?

     

    (君は、受験をしたことがあるかい?)

     

    はい!頭が足りないので、今まで受験は10回近くしてます!

     

    (解らない問題やできない問題は、どうしたの?)

     

    どうした、と言われても…

     

    (解けないまま、放置したの?)

     

    いえ、先生に質問したり勉強したりして解けるようにしました!

     

    (今、何て?)

     

    え?

     

    (今、どうやって解けるようにしたと答えた?)

     

    質問したり

     

    (質問したり?)

     

    勉強した…え、まさか

     

    (察しが良いね、察しが良い子は嫌いじゃないよ)

     

    勉強を…しろと…?

     

    (そうだよ、簡単なことだよ)

     

    いや…でも…

     

    (君が尊敬する先輩コンサルタントの皆さんは、生まれた時からISO9001:2015(QMS)を理解していたの?)

     

    皆さんはお忙しい中で、ISO9001:2015(QMS)を勉強されていらっしゃいました!

     

    (では君も、勉強したらいいのでは?)

     

    無理ですよ!僕はしがない総務部です!

     

    (このブログ、何のために書いているの?)

     

    このブログは…私の勝手な推測ですが…ISO9001:2015(QMS)の2015年度規格改訂について何が何だか分からない企業の担当者たちの少しでも助けになるように、と…

     

    (このブログ読む人は、ISO9001:2015(QMS)どころかISOそのものをあまり知らない方もいるのでは?)

     

    それは…そうです…けど…

     

    (何も知らない君が勉強してブログを書けば、何が何だか分からない人の助けになるのでは?)

     

    確かに…そうです…

     

    (誰もが最初は初心者、とも言うじゃない)

     

    じゃあ…書きます…

     

    (では期限は、今日の23時59分まで!)

     

    えぇ!?あと2時間もないですよ!?

     

    (期限は延ばせないよ、ラーメンだけにね)

     

    えぇ…

     

    (楽しみにしているよ!さらば!)

     

    なんだったんだろう…ブログ…書けるのかな…

     

     

    さて、どうしましょう。

    これはもう、ISO9001:2015(QMS)のブログを私が書くしかないようです。

     

    ラーメンで書きますか、せっかくなので。

    ラーメンとISO9001:2015(QMS)、書けるのでしょうか。

     

    「どうしたものか」と言いながらISO9001:2015(QMS)の規格項目をパラパラっと見ていると、気になる項目があります。

    9.1項に「監視,測定,分析及び評価」という項目がありました、評価する項目でしょうか。

     

    以下、ISO9001:2015(QMS)の要求事項の解説から抜粋です。

     

    ―――――――――――――――(引用ここから)―――――――――――――――

    9 パフォーマンス評価

    9.1 監視,測定,分析及び評価

    9.1.1 一般

    組織は,次の事項を決定しなければならない。

    a) 監視及び測定が必要な対象

    b) 妥当な結果を確実にするために必要な,監視,測定,分析及び評価の方法

    c) 監視及び測定の実施時期

    d) 監視及び測定の結果の,分析及び評価の時期

    組織は,品質マネジメントシステムのパフォーマンス及び有効性を評価しなければならない。

    組織は,この結果の証拠として,適切な文書化した情報を保持しなければならない。

     

    9.1.2 顧客満足

    組織は,顧客のニーズ及び期待が満たされている程度について,顧客がどのように受け止めているかを監視しなければならない。組織は,この情報の入手,監視及びレビューの方法を決定しなければならない。

    注記 顧客の受け止め方の監視には,例えば,顧客調査,提供した製品及びサービス顧客に関する顧客からのフィードバック,顧客との会合,市場シェアの分析,顧客からの賛辞,補償請求及びディーラ報告が含まれ得る。

     

    9.1.3 分析及び評価

    組織は,監視及び測定からの適切なデータ及び情報を分析し,評価しなければならない。

    分析の結果は,次の事項を評価するために用いなければならない。

    a) 製品及びサービスの適合

    b) 顧客満足度

    c) 品質マネジメントシステムのパフォーマンス及び有効性

    d) 計画が効果的に実施されたかどうか。

    e) リスク及び機会への取組みの有効性

    f) 外部提供者のパフォーマンス

    g) 品質マネジメントシステムの改善の必要性

    注記 データを分析する方法には,統計的手法が含まれ得る。

     

    ―――――――――――――――(引用ここまで)―――――――――――――――

     

    意味が…全く…理解できない…

     

    まず、「9 パフォーマンス評価」という大項目があるんですね。

    どうやら「適合」と「評価」というのがキーワードなのでしょうか、まず「評価」の中にも三つに分けられるみたいですが…

     

    次に、「9.1 監視,測定,分析及び評価」という中項目が。

    この項目は、三つに分けた(であろう)内の1項目のようです。

    しかも「評価」だけでなく、「監視」と「測定」という言葉も出てきました。

     

    そして、「9.1.1 一般」という小項目。

    「何を評価するのか」「どのように評価するのか」「いつ評価するのか」「いつ評価の結果を分析するか」ということが書かれているのでしょう、そんな気がします。

     

    さらに小項目の「9.1.2 顧客満足」です。

    「顧客満足」とは一口に言っても、「どうするか」がはっきりしておりません。

    これも「どのように」ということを明記しているようです、しかもご丁寧に「注記」まで書いてくれてます。

     

    最後の小項目である、「9.1.3 分析及び評価」です。

    ここで初めて知ったのですが、品質マネジメントって「データで語る/事実に基づく管理」が重要な基本原則の1つらしいです。

     

    さて、とりあえず規格をさらっと確認しました。

     

    …意味わかりました?僕は全くわかりません!!!

     

    ということで!今から解釈した内容をラーメンに置き換え…え?時間ですか?

     

    あぁ!もう期限の23時59分が!

     

    ひとまずこれにて失礼いたします…すみません…

     

    次回!

    「ISO9001:2015(QMS):2015年度規格改訂 9.1項「監視,測定,分析及び評価」を総務部社員が強引に規格解釈してラーメンを評価する (ラーメン結び付け編)」です!

    時期は未定です!こうご期待!!!

     

    今回も最後まで読んでいただき、ありがとうございました。

     

     

     

    参考文献

     

    中條武志・棟近雅彦・山田秀 (2015) 『ISO 9001:2015 (JIS Q 9001:2015) 要求事項の解説』, 一般財団法人 日本規格協会.

     続きを読む

  • ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈

     

    OOK151013070I9A9870_TP_V

     

     

    いつもご愛読いただきましてありがとうございます。

    ISO総合研究所コンサルタントの田口と申します。

     

    前回のブログでは「ISO27001:2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というものをテーマに書かせていただきました。

     

     

    今回は…

     

     

    「ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈」というテーマで書かせていただきます!

    またしても前回に続いて、規格解釈シリーズ!!

     

     

    今回も、田口がブログでISO9001:2015(アイエスオーキュウセンイチ:QMS)の新規格6.3項「変更の計画」の部分の規格解釈という形でやさーしく、わかりやすーく、丁寧に!説明させていただきます。

     

    では、はじめに6.3項「変更の計画」の要求事項には何が書かれているのでしょうか?

     

    「組織が品質マネジメントシステムの必要性を決定したとき、その変更は、計画的な方法で行わなければならない(4.4参照)。

    組織は、次の事項を考慮しなければならない。

    a)変更の目的、及びそれによって起こり得る結果

    b)品質マネジメントシステムの“完全に整っている状態”

    c)資源の利用可能性

    d)責任及び権限の割り当て又は再割り当て」

     

    なんか難しいことが書かれていますね…

    そして、途中で出てくる4.4も後で見てみましょう。

     

    a)は変更する目的と変更によって考えられる出来事を考えましょう。

    b)変更してもマネジメントシステムがしっかりと機能している状態にして下さい。

    c)何か原材料とか道具は必要になるのかどうか。

    d)変更で何か役割とかが変えた方がいい場合は変更を行う。

     

    要は、品質マネジメントシステム(QMS)を変更するときは変更で考えられる現象や出来事を考慮して変更をしてくださいねってことです!

    例えば、内部監査のやり方を変えますという場合

    今まで、内部監査員を育てるのにまずは講習をして、その後監査責任者がメンバーを選出して、メンバーがチェックリストを作成して、監査計画を作って、監査を行って、報告書を作ってまとめて、報告を行う…

    いやいや、かなり面倒です。やり方を変えたいです!

     

    となった場合に…

     

    内部監査員は事務局メンバーにしておいて、チェックリストは作っておく。監査計画書と報告書の様式をまとめてしまう。そして、あとは報告するだけ!

    流れはこれでいいので、じゃあ、あとは必要な道具の様式、“内部監査計画・結果“というものを作りましょう。

     

    という流れをしっかりと計画立ててやってくださいねってことなのです!

     

    また、4.4に書かれているというものは品質マネジメントシステム(QMS)及びプロセスです。

    品質マネジメントシステム(QMS)をしっかりと確立して、維持して、改善してくださいということが書いてあります。

    これを守って変更をして下さいねということなのです!

     

    そして最後です。これの結果を文書化しなさいというようなことは何も書いてありません。

    さて、文書化というのはどういうことでしょう??

     

    文字にする。文章にする。

    というのが一般的だと思います。

    実は、文書化というのは、文字、文章の他に、表、図、絵、写真なども当てはまります。

    必ずしも、文字で文章を書かなければいけないというものではないのです!!

    これはけっこう勘違いをされてしまう方が多いのです。

     

    これらの文書化をしなさいということは言われていないので、特に何かを残すということは必要ないのです。

     

    さて、これですべてのわからないような文言がわかりましたね。

    最後にまとめてみましょう。

     

    6.3項「変更の計画」規格解釈

    「a)は変更する目的と変更によって考えられる出来事を考えましょう。

    b)変更してもマネジメントシステムがしっかりと機能している状態にして下さい。

    c)何か原材料とか道具は必要になるのかどうか。

    d)変更で何か役割とかが変えた方がいい場合は変更を行う。

    これらを考慮して、さらに4.4項に書かれている品質マネジメントシステム(QMS)を守って変更をして下さいね」

     

    ということになります。

    どうでしょう?わかりましたか?

     

    こういう規格解釈が本当にあなたの会社にとって必要なのかを考えるのも良いかもしれないですね。

    しかし、解釈にかかる時間がもったいなくありませんか?

     

    弊社では、運用代行サービスを行っております。

    あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

    書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

    その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

    ISO総合研究所のミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

    0ですよ!ゼロ!ゼロ!!ゼロ!!!

     

    話が長くなりました…

    それでは、今回は「ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈」というテーマで書かせていただきました。

    また読んでいただけることを楽しみにしております。

    ありがとうございました。続きを読む

  • ISO9001:2015(QMS)取得のコンサルタントをしている時に見つけたグルメスポットまとめ

     

    picture

     

     

    最近笑ったのはパンクブーブーのコントを観たとき。

    どうもこんにちは。ISO総合研究所コンサルタントの野瀬です。

     

    さて、今回はISO9001:2015(QMS)取得のコンサルタントをして、大体東京とか福岡らへんとか行ったり来たり

    しているときに最近行ったお店を適当に紹介していきたいなって思います。

    ジャンルとか場所は様々なので、気になったお店があると嬉しいですね!

     

    はい。それではスタート!

     

    ■:想吃担担面【愛知・名古屋】

    名古屋駅地下のエスカや、錦や栄、ユニモールにある担々麺専門店ですね。

    汁なしと汁ありが選べて、ランチタイムにはご飯をミニ麻婆丼に変更できます。

    中華特有の痺れるような辛さが後を引き、大量のネギの食感が良いアクセントに

    なります。

    だいたい名古屋に行くとここの担々麺をいただきます。

    辛さも選べるので、辛いものが苦手な人もおいしくいただけます。

    http://tabelog.com/aichi/A2301/A230101/23000885/

     

    ■:治郎丸【東京・新宿】

    一時期話題になった立ち食い焼き肉やさん。

    一枚ずつ頼めるうえに、種類も多くてごはんが進みます。

    希少部位も多く、行く度に置いている肉の部位が違うので、

    いつでもあの頃の新鮮な気持ちでお肉を食すことができるってのはありがたい。

    そのうえ単価も安いから安心ですね。

    並んでいることが多いかもしれませんが、立ち食いだから

    回転も早くて比較的早く入れます。

    http://tabelog.com/tokyo/A1304/A130401/13171155/dtlrvwlst/7903532/

     

    ゲームの龍が如くの舞台でも有名な歌舞伎町あたりなので、

    ゲームファンはテンション上がりますね。

     

    ■:饗 くろ喜【東京・浅草橋】

    行く度に並んでいるような人気店ではありますが、意外と回転は早いです。

    頼んだものは特製塩ラーメン。麺は細麺か平打ち麺を選べます。

    細麺でしたがつるつるの麺がいい感じ。

    塩のスープは美しくて、2種類のチャーシューも食感とお味が素敵。

    金曜日限定で、紫 くろ喜という店名になり、

    限定のラーメンもあるので、そちらも要注目。食べたことないですけどね。

    http://tabelog.com/tokyo/A1310/A131001/13127743/

     

    ■:中国菜 OIL【大阪・福島】

    大阪のグルメ激戦区、福島駅からほど近いところにある中華料理屋。

    写真の麻婆豆腐は、豆板醤と山椒の辛味を油がまろやかにしている感じ。

    辛いけど、ご飯に相性ぴったりで、ご飯が進むラー油がポイントの唯一二無の麻婆豆腐だと思います。

    それ以外にも黒酢の酢豚やよだれ鶏など、どれもこれもお箸が進む一品揃いで

    超おすすめの中華料理でした。

    http://tabelog.com/osaka/A2701/A270108/27052335/

     

    ■:フィナンシェ【大阪・北新地】

    ここでデザートのお店に。

    北新地にあるスイーツバー。季節毎に出てくるスイーツのコースと

    スイーツに合うワインが置いてあります。

    目でも舌でも楽しめるスイーツや貴腐ワインなど珍しいワインも揃えてあります。

    お客様層は殆どカップルか女性のみ。男性だけでいくとかなり

    肩身が狭く感じます。

    http://tabelog.com/osaka/A2701/A270101/27082349/

     

    ■:This is 中川 (これはなかがわです。)【大阪・淡路】

    これまた大阪にあるラーメン店。

    塩ベースのスープがスッキリだけど、深みのある味。鳥の風味もあり美味し。

    麺は平打ちの太麺。又、トッピングあられ?が入っているのも、スープの味を引き立てていると

    思います。鳥チャーシューや半熟玉子、やっこネギなどの具材も引き立っていてGood!

    野瀬的塩ラーメンランキング1位です。

    http://tabelog.com/osaka/A2701/A270307/27091268/

     

    ■:ムルギー(東京:渋谷)

    渋谷にある老舗カレー店。

    お店の内観は、古きよき喫茶店といった

    佇まい。先の尖った山盛りのご飯(固め)とスパイシーなルーが

    特徴。

    とろみが少ないけれど油しっかりのインドカレー的スパイシーカレーと日本的な

    甘みのあるご飯が素敵な一食でした。

    http://tabelog.com/tokyo/A1303/A130301/13001732/

     

    ■:一平や【広島:稲荷町】

    広島駅から徒歩6分くらいでいけるまぜ麺専門店。

    ひき肉と大量の天かす、卵と辛味噌を豪快にまぜて食べるわけですが、

    味はおいしいの一言。まぜ麺を食べた後の残りの具に、

    ご飯を混ぜ合わせるとこれがまたおいしい。

    広島に寄ることがあると必ずここに寄ります。完全に癖になっています。

    http://tabelog.com/hiroshima/A3401/A340102/34014138/

     

     

    というわけで、大阪と東京がやや多かったですが、いかがでしたでしょうか?

    気になったお店があれば、ぜひ一度足を運んでみてください。

     

     

    「というわけでってなんだよ。なんのブログだよ。」という声が聞こえてきそうですが華麗にスルーさせていただき、

    今回はお開きとさせていただきます。

     

    追記:ISO9001:2015(QMS)、ISO14001:2015(EMS)、ISO27001:2013(ISMS)の運用にお困りの皆様、ぜひ当社まで

    お声掛けください。無料で相談に参ります。続きを読む

  • ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈

     

    TSU863_kakigooriumai_TP_V

     

     

    こんにちは、ISO総合研究所コンサルタントの藤川健太郎です。

    最近はめっきり暖かくなり、エアコンを使う事が多くなってきたのではないでしょうか?

    私はよくエアコンをつけ、お腹を出したまま寝てしまう事が多いので朝腹痛で起きる事が多くなってます。泣

     

    そして不幸な事に生炙りレバーを食べた際にキレイに当たってしまい相乗効果な始末です。

    トホホ…。

     

    さて、私のお腹の事はどうでもよいとして今回はこちらです!

    ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の規格改訂シリーズということで今回のテーマは「ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈」

     

    まず今回の規格改定においての特徴としてマネジメントシステム規格の整合化があります。

    2012年以降に改定された規格については、整合化をはかるために構造が統一されることになりました。どの規格を見ても同じ項番にあるなどです。これをハイレベルストラクチャーと呼び、複数規格の認証取得をしている場合には、統合しやすくなっています。

     

     

    6.1.1 ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の計画に際して、4.1の課題及び4.2の要求事項を考慮し、次の事項への対応に必要なリスク及び機会を決定する。

    1)QMSがその意図した結果を達成し得ることを保証する。

    2)望ましい影響を向上させる

    3)望ましくない影響を防止又は低減する

    4)改善を達成する

     

    6.1.2 リスク及び機会に対応するために、次に示す事項を含む計画を策定する。

    1)リスク及び機会への対応の処置

    2)これら処置のQMS(キューエムエス)プロセスへの統合及び実施の方法、並びに処置の有効性の評価の方法

    リスク及び機会への対応の処置は、製品/サービスの適合性に対する潜在的影響に見合うものとする。

     

    注記1

    リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

    注記2

    機会は,新たな慣行の採用,新製品の発売,新市場の開拓,新たな顧客への取組み,パートナーシップの構築,新たな技術の使用,及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得る。

     

     

    今回のISO9001:2015(アイエスオーキュウセンイチ:QMS)の規格改訂の一番の追加要求になります。リスク及び機会に対応するために処置をしろと要求しています。

    ではリスクと機会とは何かというと、リスクは、不確かさの影響。リスクについてはイメージが沸きやすいかもしれません。

    ・製品の欠陥や社員の流動などの組織内部のリスク
    ・取引先の倒産や供給先の不祥事などの外部のリスク
    ・災害や景気の浮き沈みなどの社会のリスク

    組織は常にさまざまなリスクにさらされています。

    今回、リスクが要求事項に組み込まれたのも、これらのリスクによって顧客満足が満たせなくなるという事実を無視できなくなっているからです。

    『リスク』とは『変化』のことです。
    時代が変われば、これまでは問題なかったことも、大きなリスクになることがあります。

    例えば、現在の社員の平均年齢を把握していますか?
    現在は50歳だとしたら、このまま何もしなければ20年後には誰もいなくなります。
    もちろん、20年の間に新しいスタッフが入ったりするでしょう。
    しかし、今までのように雇用できるでしょうか?

    これも変化の一つです。

     

    一方、『機会』とは何でしょうか。
    組織は真面目に製品を作って売り、内的外的にも取り立てて大きな問題はない、つまり表だったリスクはないとします。

    それでも時代は変動し、顧客の望むものは刻々と変化していきます。
    その時代のニーズに気付かずに顧客の『望まないもの』を提供するのは大きな機会の損失となります。

    『機会』は『リスク』のように表面に表れにくいので、つい見過ごしがちです。
    改正版の要求事項では、機会についても何らかの対処をすることを求めています。

    そもそも、製品には「顧客が望むもの」と「顧客が望まないもの」の二つがあります。
    マネジメントとは、顧客が「望むもの」と「望まないもの」を区別して、「望まないもの」を排除し、「望むもの」を適切なタイミングで提供することで顧客満足を高めていこうというものです。

    望まないものを提供してしまうことが「リスク」の一部だと考え、望むものを提供することが「機会」の一部と考えるべきだと思います。

     

    この二つに対応する処置を決めた計画を立てておけと要求しています。

    よく見ると、文書化した情報の記載がないので、ここに文書・記録の要求はないので、審査レベルで言えば、リスク機会の対応する処置の計画は、口頭で話せればよいということです。

    またこの情報が求められている要求項番としては9.3.2のマネジメントレビューのインプットです。組織の代表者への報告事項として求められており、ここで文書化した情報の保持が求められるので事実上、マネジメントレビュー記録に記載が残る形になります。

     

    現在、規格改訂セミナーや実際に改定作業を行っている方もいるでしょう。

    是非、ISO総合研究所のコンサルタントにご相談ください。続きを読む

  • ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」規格解釈

     

    TSUCH160130540I9A6568_TP_V

     

     

    いつもお世話になっております。

    ISO総合研究所コンサルタントの濱田章弘(はまだあきひろ)と申します。

     

    さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、今回のテーマは、

    『ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」』について規格解釈をさせていただきたいと思います。

    まずは第1章で規格が何を求めているかについて確認してみましょう。

     

    ■第1章

    『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』概要

     

    規格改訂後の5.1項「リーダーシップ及びコミットメント」では、

    5.1.1一般と5.1.2顧客重視の2パートに分けることが出来ます。

    まずは5.1.1一般、その後5.1.2顧客重視を見ていきます。

     

    5.1.1 一般

    トップマネジメントは、次に示す事項によって、品質マネジメントシステムに関するリーダーシップ及びコミットメントを実証しなければならない。

     

    a)品質マネジメントシステムの有効性に説明責任(accountability)を負う。

     

    b)品質マネジメントシステムに関する品質方針及び品質目標を確立し、それらが組織の状況及び戦略的な方向性と両立することを確実にする。

     

    c)組織の事業プロセスへの品質マネジメントシステム要求事項の統合を確実にする。

     

    d)プロセスアプローチ及びリスクに基づく考え方の利用を促進する。

     

    e)品質マネジメントシステムに必要な資源が利用可能であることを確実にする。

     

    f)有効な品質マネジメント及び品質マネジメントシステム要求事項への適合の重要性を伝達する。

     

    g)品質マネジメントシステムがその意図した結果を達成することを確実にする。

     

    h)品質マネジメントシステムの有効性を寄与するよう人々を積極的に参加させ、指揮し、支援する。

     

    i)改善を促進する。

     

    j)その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。

     

    ※注記 この国際規格で“事業”という場合、それは、組織が公的か私的化、営利か非営利かを問わず、組織の存在の目的の中核となる活動という広義の意味で解釈され得る。

     

    5.1.2 顧客重視

    トップマネジメントは、次の事項を確実にすることによって、顧客重視に関わるリーダーシップ及びコミットメントを実証しなければならない。

     

    a)顧客要求事項及び適用される法令・規制要求事項を明確にし、理解し、一貫してそれを満たしている。

     

    b)製品及びサービスの適合並びに顧客満足を向上させる能力に影響を与え得る、リスク及び機会を決定し、取り組んでいる。

     

    c)顧客満足向上の重視が維持されている。

     

    ■第2章

    『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』についての規格解釈

     

    トップマネジメントは、組織がISO9001規格の規定する要件に従って品質経営体制を確立し、それに則って業務実行を指揮、管理し、また、時代の変化に対応して経営戦略としての品質方針及び組織の品質目標(5.2項)を見直し変更し、必要な顧客満足の状態を継続的に実現、維持することに、トップマネジメントとしての統率力を発揮しなければならず、職を賭して取り組まなければならない。

     

    トップマネジメントは、そのような役割と責任を遂行する証として、a)~k)を効果的に実行しなければならない。

    a)は、コミットメントに関し、他はリーダーシップに関する。また、b)、c)、e)、f)、j)項は、トップマネジメントが直接的責任を負うべき分野を指し、d)、g)、h)、i)項はトップマネジメントが統率力を発揮すべき重要分野を指す。

     

    a)は、トップマネジメントが職責を全うしなければならないということであり、08年版の「品質経営体制の有効性の継続的改善にコミットメントする」の規定条文の用語を変えた書き直しである。

     

    b)は、組織の存続発展を図る組織の経営活動の枠組みの中で品質経営の活動行うということであり、c)は、規格の規定により新たな品質経営体制を構築するのでなく、規定は組織の既存の品質と顧客対応に関係する業務の手はずに反映させること、或いは、規格の規定を満たして整えた手はずの通りに組織の経営管理の実務が行なわれているという意味である。b),c)を合わせて規格の規定に従って品質経営体制を確立し、その下で品質経営を行う (4.4項)という規格導入の基本条件を満たす最終責任がトップマネジメントにあることを示している。

     

    d), h), i)は、規格の序文と規定と「品質経営の原理」として規定されている、品質経営の業務の実行に係わる規格の論理である。また、j)は、管理者や監督者が委ねられた職責を積極的に果たすことを促す組織風土、作業環境を創造するというトップマネジメントの責任を指す。

     

    ■第3章

    予想される極端な審査要求

    ①品質マネジメントシステムと事業との統合の証拠

    ②トップマネジメントの責任に関するトップマネジメントへの質問

     

    規格改訂の目的で一番大きいものは、マネジメントシステムと事業との統合化、また項番5にリーダーシップが導入されてお分かりの通り代表者の責任の割合が強くなったことであることは明白です。

     

    いわゆる実態に沿ったルールになっているか、代表者がマネジメントシステムにしっかり関わっているのかです。

    ポイントを押えておけば規格改訂も全然怖くありません。

     

    手前味噌ですが弊社でもありがたいことに、規格改訂の書籍

    【これ1冊でできる・わかる これ1冊でできるわかる ISO9001―やるべきこと、気をつけること  古江 一樹【監修】/ISO総合研究所【著】】

    を出版させていただきました。

    ご興味がございましたら書店にてお買い求めくださいませ。

     

    また、もし御社がISO9001:2015(QMS)、ISO14001:2015(EMS)、ISO27001:2015(ISMS)、プライバシーマーク(Pマーク)の取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

     続きを読む

  • ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈

     

    MAX85_searchsa20140531_TP_V

     

    いつもブログをご愛読いただきまして誠にありがとうございます。

    ISO総合研究所コンサルタントの松口と申します。

     

    梅雨の季節がやってきましたね。私は1年の中で一番嫌いな時期です。

    早く夏が来ないかなと思っている今日この頃です。

    夏といったら、海、バーベキュー、お祭り、花火と楽しみがいっぱいです。

    プライベートでは、息子がどんどん成長しており、最近ではパパとかママとか話すようになってきました。

    息子の最近のマイブームはトーマスです。トーマスの本を買ってあげたら離しません。

    息子にトーマスの本を買ってあげるためにお仕事頑張ります。息子を溺愛している私です。

     

    まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らせて頂きたいと思います。

    前回のブログでは「ISO9001:2015(QMS):2015年度の概要」をご紹介させて頂きましたが、

    今回は「ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈」をご紹介させて頂きます。

     

    まずはJIS Q 27001:2014の要求事項を見てみましょう。

    下記に記載していきます。JIS Q 27001:2014に記載されている要求事項はよくわからないことが書いてあり解釈するのに苦労するかと思います。

    が、下記に概要を簡単に書かせて頂きますのでご興味があればお読みください。

     

    6 計画

    6.1 リスク及び機会に対処する活動

    6.1.1 一般

    ISMS(ISO27001:2013)の計画を策定するとき,組織は,4.1 に規定する課題及び4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。


    1. a) ISMS(ISO27001:2013)が,その意図した成果を達成できることを確実にする。

    2. b) 望ましくない影響を防止又は低減する。

    3. c) 継続的改善を達成する。


     

    組織は,次の事項を計画しなければならない。

    1. d) 上記によって決定したリスク及び機会に対処する活動

    2. e) 次の事項を行う方法


    1) その活動のISMSプロセスへの統合及び実施

    2) その活動の有効性の評価

     

    これらの要求事項のポイントとしては、ISMS(ISO27001:2013)の計画において、情報セキュリティに関連するリスクだけでなく、マネジメントシステムのリスクを含めた全体のリスクを対象としていることです。特に4.1の「組織及びその状況の理解」より決定した課題から、必要があるリスクを決定しましょうとのことです。

    リスク及び機会に対処する活動には、ISMS(ISO27001:2013)の全体の活動、目的の達成のための計画、リスク対応計画などがあります。

    この辺を頭の片隅に入れて考えて見るとわかりやすいかもしれません。

     

    6.1.2 情報セキュリティリスクアセスメント

    組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

    a) 次を含む情報セキュリティのリスク基準を確立し,維持する。

    1) リスク受容基準

    2) 情報セキュリティリスクアセスメントを実施するための基準

    b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。

    c) 次によって情報セキュリティリスクを特定する。

    1) ISMS(ISO27001:2013)の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。

    2) これらのリスク所有者を特定する。

    d) 次によって情報セキュリティリスクを分析する。

    1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。

    2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。

    3) リスクレベルを決定する。

    e) 次によって情報セキュリティリスクを評価する。

    1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。

    2) リスク対応のために,分析したリスクの優先順位付けを行う。

    組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

    それでは今度はこちらの要求事項のポイントを見てみましょう。

    まずはa)~e)の項目を満たす情報セキュリティのリスクアセスメントの手順を定めて実施することです。

    情報の「機密性」「完全性」及び「可用性」の喪失に伴うリスクの影響を考慮し、組織として認識する情報セキュリティを特定する必要があります。リスク分析することにより、情報資産におけるリスクレベルを洗い出し、実際に生じた場合に

    起こり得る結果、現実的な起こりやすさについてアセスメントを行う必要があります。

    その結果、リスク対応計画に反映していくことになります。

     

    6.1.3 情報セキュリティリスク対応

    組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。

    a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。

    b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

    c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。

    d) 次を含む適用宣言書を作成する。

    - 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由

    - それらの管理策を実施しているか否か

    - 附属書A に規定する管理策を除外した理由

    e) 情報セキュリティリスク対応計画を策定する。

    f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

    組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

     

    それでは続きましてこちらの要求事項のポイントを見てみましょう。

    まずはa)~f)の項目を満たす情報セキュリティ対応の手順を定めて実施することです。

    リスク対応のために必要な管理策を決定し、附属書Aに記載されている管理策と比べ、必要な管理策の見落としがないかを確認します。そして適用宣言書の作成をします。その際に管理策の採否及びその理由は記載するようにしましょう。

     

    6.2 情報セキュリティ目的及びそれを達成するための計画策定

    組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。

    情報セキュリティ目的は,次の事項を満たさなければならない。

    a) 情報セキュリティ方針と整合している。

    b) (実行可能な場合)測定可能である。

    c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。

    d) 伝達する。

    e) 必要に応じて,更新する。

    組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。

    組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。

    f) 実施事項

    g) 必要な資源

    h) 責任者

    i) 達成期限

    j) 結果の評価方法

     

    それでは最後にこちらの要求事項のポイントを見てみましょう。

    まずはa)~e)の項目を満たす情報セキュリティにおいて達成する目的を定めて実施することです。

    次にf)~j)の項目を満たす情報セキュリティ目的を達成するための実施計画を策定します。

     

    自社の運用でお悩み等がございましたら、是非一度ISO総合研究所にお問い合わせください。コンサルタントがご訪問させて頂きアドバイスをさせて頂きます。続きを読む

  • ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

    _shared_img_thumb_PAK77_sumahodetel20140823111801_TP_V

    いつもご愛読いただきありがとうございます。

    ISO総合研究所コンサルタントの千葉です。

    世の中クールビズのスタートも早くなりましたね。

    5月は暑かったり涼しかったり、と着る服にも困ることが多かったですね。

    しかし、そろそろ梅雨入りも目前になり、暑い日が続くようになりましたね。

    これからはじめじめした空気との戦いになりますね。

     

    さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈」についてお話をしたいと思います。

    現在、ISO27001:2013(ISMS)だけでなく、ISO9001:2015(QMS)、ISO14001:2015(EMS)も規格改訂により3つの規格が10章立てで構成されることになりました。

    複数規格をお持ちの企業様にとっては、統合した仕組みを作りやすくなったのではないでしょうか。

     

     

    10.1 不適合及び是正処置

    不適合が発生した場合,組織は,次の事項を行わなければならない。

     

     

    章立てがかわったこともあり、少し考えてしまうかもしれません。ただ、旧規格から比べて、条文の言葉や項目の並びなどは変わりましたが、大枠の考え方などを全く別の方向に向ける必要はないように思います。

    大きな部分では、起こった不適合に対して対応(処置)する。次にその原因を追究する。そして再度起こらないような処置を行う。

    この大きな流れは変わりません。

    ただし、なにも変わらないのであればそもそも言葉を変える必要がありません。大きな部分で変わらなくても細部では変更があるということを頭の片隅に置いていただくと良いと思います。

     

    すこし具体に見ていきます。

     

    まず、

     

    1) その不適合を管理し,修正するための処置をとる。

     

    発生した不適合について、きちんと把握する、コントロールできる状況に置くということです。そして、その状態から対応をしていきましょうということ。

     

    2) その不適合によって起こった結果に対処する。

     

    その不適合が発生し、どのような事態になったのか。その起きた事象に対応しましょうということ。

     


    1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。


     

    この項目から原因をつぶしていく対応が始まります。

     

    1) その不適合をレビューする。

     

    起こってしまった不適合について、評価を実施します。

    2) その不適合の原因を明確にする。

     

    言葉のままです。原因がどこに起因するのかきちんと確認します。

     

    3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

     

    ここが抜けていることが多く見られますので、注意が必要なところです。以前の規格ではあまり触れられていませんでした。

    ここでは、過去に起こった不適合の内容と照らし合わせ、似ているケースや同様のケースも確認する必要があります。

     

    ここまで出来ると、ここからは実際の行動に変わっていきます。

     

    1. c) 必要な処置を実施する。


     

    起こってしまった不適合について、a)項、b)項で認識した内容を元に、その原因を取り除くための処置を行います。

    今までで言う「再発防止」になります。

     

    1. d) とった全ての是正処置の有効性をレビューする。


     

    a)~c)項にて行った不適合に対する是正処置について、問題ないかレビューを行います。

    レビュー=評価 とお考えください。

    また、ISOの中では「有効性」という言葉が出てきます。

    ここでは、「不適合に対する是正処置が有効に機能しているか」という視点で考えてみてください。

    同じような問題が発生しないようであれば、有効であると考えられるでしょう。

     

    1. e) 必要な場合には,ISMS の変更を行う。


     

    是正処置を行うと同時に、ISO27001:2013(ISMS)の仕組みに対する変更が必要ないかどうか、確認を行ってください。変更が必要な場合は忘れずに変更を行いましょう。

     

     

    また、ISO27001:2013(ISMS)の要求事項では以下の文言があります。

     

    --------------------------------------------------------------

    是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

    組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

    --------------------------------------------------------------

    つまり、是正処置と不適合に関しては、連動していなければおかしい、という話になりますね。

    また、ISO27001:2013(ISMS)の要求事項にあるとおり、「文書化した情報を保持」しなければならないことになっています。

    簡単に言うと、「記録に残す」という形です。

    後から自社の取り組みを振り替えられるような取り組みをISOの中でも求められている、ということがわかりますね。

     

    1. f) 不適合の性質及びとった処置


    不適合の内容とその際の処置は、今後の是正処置やリスク管理のためにも記録に残すことが求められています。

     

    1. g) 是正処置の結果


    社内で行った是正処置に対しても、あとから社内で振り返るためにも記録に残していくことが求められています。

     

    改善事項として考えた場合にも、是正処置の対応を社内で手順を残した上で記録に残す必要があることがわかりますね。

     

    では、次に「継続的改善」について考えてみましょう。

    規格要求事項では以下のように書かれています。

     

    ---------------------------------------------------------------

    10.2 継続的改善

    組織は,ISMS の適切性,妥当性及び有効性を継続的に改善しなければならない。

    ---------------------------------------------------------------

     

    つまり、ISO27001:2013(ISMS)では、ただ仕組みを構築することが目的でなく、それをいかに活用できるか、がポイントになりますね。

    おそらく、関わっている方は社内の改善に対しても意識出来ているのではないでしょうか。

     

    今後も、是非規格要求事項とISO27001:2013(ISMS)について考えてみてください。続きを読む

  • ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈

     

    max16011508_TP_V

     

     

    ご愛読者の皆様、いつもありがとうございます。

    また、初めての方も、ありがとうございます。

    ISO総合研究所コンサルタントの田牧です。

     

    5月の連休を過ぎ、まだもう少し春を満喫したい!!

    そんなことを思っていましたが、地球の温暖化なのか、夏まっしぐらな日々か続き、体調は崩されていませんでしょうか。

    私事ではありますが、先日、子どもの運動会に参加してきました。

    私の子供のころには、運動会と言えば「秋」の10月頃だったと記憶していますが、最近はこれくらいの時期に開催される学校も多いようですね。

    元々は、夏の暑い時期に運動会の準備・練習・本番を迎えることでの参加者への負担を考慮したものだと聞いていますが、あまり変わらなくなってきました。

    今週末にももう一度運動会があり、熱中症対策をしなければと、頭を悩ましています。

     

    と、近況報告はこれくらいに、今回のテーマは『ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」について』です。

     

    まずは、規格を確認して見ましょう。

     

    JIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)では

    8.1 運用の計画及び管理

    組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2 項で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。

    組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。

    組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。

    組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。

     

    また、ここに出てきた6.1項及び6.2項も確認しておきます。

    と思いましたが、かなりの長文となるのでどういった項番だったかというと

     

    6.1 リスク及び機会に対処する活動

    6.1.1 一般

    6.1.2 情報セキュリティリスクアセスメント

    6.1.3 情報セキュリティリスク対応

    6.2 情報セキュリティ目的及びそれを達成するための計画策定

     

    ということでした。やっぱり分かりづらいですね。

    ですので、少しずつ紐解いていきましょう。まずは最初の一文です。

    「組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。」

    から見ていきましょう。

    ここで求め求められているのは

    情報セキュリティ要求事項を満たすために、項番6.1(=リスク及び機会に対する活動)で決定したことを計画して、実施し、管理すること。つまり、項番6.1では情報セキュリティリスクを認識し洗い出し、セキュリティ活動=目的(目標)を『計画』しましたが、今回はその『計画』を『実行』することが求められています。

    よく言われるPDCAサイクルにおけるD=Doの部分が求められていることが読み取れます。

     

    そして次に

    「組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。」

    『実行』されることが計画的にまた確実に行われるように、わかりやすく、明確なかたち、ここでは「文書化」と表現されていますが、記録を残すことが求められています。

     

    そして

    「組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。」

    『実行』の内容については管理することで、その管理の中で変更があれば、見直し、修正、また必要な対応を求めています。

     

    最後に

    「組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。」

    外部委託するものがあれば、そのプロセスを明確に、そのことを管理することを求められています。(このことは付属書AのA.15供給者関係に関連する部分ですので、今回は細かく触れませんが・・・)

    改めで、簡単にこのJIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)8.1 運用の計画及び管理についてまとめますと

    6章にて目的(目標)の達成と課題解決のための計画(Plan)を実行(Do)することが求められ、その管理についての要求事項について記載があるということになります。

     

    自分で記載していても、この辺りはわかりにくいと感じますね。(無理にそうしているのではありません。恐らく私の文才がただただないのだと思うのですが。

     

    ということでISO27001:2013(ISMS)のご取得をご検討中で、本ブログを読まれ、少しでも「?」と思われるようなことがあれば、お気軽に弊社、ISO総合研究所までご連絡ください!!続きを読む

  • ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

    PAK85_lalakakudaikyouOL20140321_TP_V

     

     

     

    いつもご愛読いただきありがとうございます。

    ISO総合研究所コンサルタントの残田です。

     

    今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

    」について書いていきたいと思います。

     

     

    まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

     

    9.2 内部監査

    組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。


    1. a) 次の事項に適合している。


    1) ISMS に関して,組織自体が規定した要求事項

    2) この規格の要求事項

    1. b) 有効に実施され,維持されている。


     

    組織は,次に示す事項を行わなければならない。

    1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

    2. d) 各監査について,監査基準及び監査範囲を明確にする。

    3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

    4. f) 監査の結果を関連する管理層に報告することを確実にする。

    5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。


     

     

     

     

    ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

     

    9.2 内部監査

    9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

    1. a) 次の事項に適合している。


    1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

    2) この規格の要求事項

    1. b) 有効に実施され,維持されている。


     

    9.2.2 組織は,次に示す事項を行わなければならない。

    1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。

    2. b) 各監査について,監査基準及び監査範囲を定める。

    3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。

    4. d) 監査の結果を関連する管理層に報告することを確実にする。

    5. e) 遅滞なく,適切な修正を行い,是正処置をとる。

    6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。


     

     

     

    JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

     

    9.2 内部監査

    9.2.1 一般

    組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

    1. a) 次の事項に適合している。


    1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

    2) この規格の要求事項

    1. b) 有効に実施され,維持されている。


     

    9.2.2 内部監査プログラム

    組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

    内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

    組織は,次の事項を行わなければならない。

    1. a) 各監査について,監査基準及び監査範囲を明確にする。

    2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。

    3. c) 監査の結果を関連する管理層に報告することを確実にする。


    組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

     

     

    見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

    ここからは内容を細かく見ていきたいと思います。

     

    >a) 次の事項に適合している。

    >1) ISMS に関して,組織自体が規定した要求事項

    >2) この規格の要求事項

    →適合しているかどうかを内部監査でチェックすることが求められています。

    1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

    2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

     

     

     

    >b) 有効に実施され,維持されている。

    →定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

     

    システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

     

     

     

    >c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

    →内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

     

     

     

    1. d) 各監査について,監査基準及び監査範囲を明確にする。


    →監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

    監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

     

     

     

    1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。


    →自分がしている仕事内容を監査することができません。

     

     

     

    1. f) 監査の結果を関連する管理層に報告することを確実にする。


    →監査結果を関連部署の部門長等に報告する必要があります。

     

     

     

    1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。


    →監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

     

     

     

    JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

    自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

     

     

    ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。続きを読む

  • ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈

     

    _shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

     

     

    いつもご愛読いただきありがとうございます。

    ISO総合研究所コンサルタントの戸沼です。

     

    今回のブログでは、「ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈」について書かせていただきます。

     

    内容としては、

    大きく下記の3つの項目をご説明させていただきます。

     

    1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

    2.ISO27001(ISMS):2013年版で明確にされたこと

    3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

     

    ~~~~~~~~~~~~~~~~~~~~~~~~

    1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

     

    まずは、ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比からみていきましょう。

     

    ISO27001(ISMS):2006年版における構成は下記の通りです。

    4.3 文書化に関する要求事項

    4.3.1 一般

    4.3.2 文書管理

    4.3.3 記録の管理

     

    ISO27001(ISMS):2013年版における構成は下記の通りです。

    7.5 文書化した情報

    7.5.1 一般

    7.5.2 作成及び更新

    7.5.3 文書化した情報の管理

     

    上記のように章の構成は変わっています。

    2006年版では「文書」と「記録」という2つの要素を管理すべきと述べられているのに対して、

    2013年版では「文書化した情報」という1つの要素にまとめられていることが分かります。

     

    このような変更がなされた背景には、社会のIT化があります。

    ひと昔前では「文書・記録=紙媒体」でしたが、

    現代においては「文書・記録=デジタル媒体」であるところも少なくありません。

    例えば、ある運送会社様では、

    荷物の積み下ろしの際の手順書は注釈を入れた動画になっていました。

    同時に、荷物の積み下ろしがルール通りにできているかのチェックも動画とiPadによるチェックリストをもとに行われていました。

    このように、現代では紙媒体のみならず、

    デジタル媒体(WordやExcelデータ、動画データ、音声データ)も文書化された手順にも記録にもなりえますし、

    生体認証(指紋、声紋、虹彩、静脈等)による認識履歴も記録になりえますので、

    これまでの「文書」と「記録」という表現が見直されてきました。

     

    ISO27001(ISMS):2013年版の規格要求事項を読み進めていくと、

    ISO27001(ISMS):2006年版において「文書」とされていた事項と同一の取扱いが求められるのが、

    「文書化した情報として利用可能である」「~プロセスについての文書化した情報を保持」といった表記になっている箇所となります。

    同様に、

    ISO27001(ISMS):2006年版において「記録」とされていた事項と同一の取扱いが求められるのが、

    「~の証拠として、文書化した情報を保持する」といった表記になっている箇所となります。

     

    媒体や手段の違いはあれど、

    大きな要素としては変わっていないことが分かります。

     

    ~~~~~~~~~~~~~~~~~~~~~~~~

    2.ISO27001(ISMS):2013年版で明確にされたこと

     

    次に、ISO27001(ISMS):2013年版で明確にされたことをみていきましょう。

     

    ISO27001(ISMS):2006年版にはない表現として、下記のような記述があります。

    ・「適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)」

    ・「適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)」

    ・「配付,アクセス,検索及び利用」

     

    一見して分かることは、

    2013年版では、文書化した情報の管理として、デジタル管理も想定された規格要求が明確化されました。

     

    お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、

    デジタルデータの管理方法が部ごと、個人ごと、保管ツールごとに異なり、

    社内の標準的なルールが定まっていないということです。

    この点に関しては、今後ますますデジタルデータが増えていくことを見据えて、

    最適解を社内で一度協議してみるのがよさそうです。

     

    ~~~~~~~~~~~~~~~~~~~~~~~~

    3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

     

    最後に、ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきことを考えていきます。

     

    私たちコンサルタントは、

    様々な業種・業態の組織様のお手伝いをさせていただく中で、

    役得と言いますか、様々な形・手段の「文書化した情報の管理」を拝見させていただいております。

    その中で感じることは、

    デジタルデータの情報管理に関しては、紙媒体の情報管理と比較して、まだまだ改善の余地がある組織様が多いということです。

     

    うまく取り決めていらっしゃる組織様ですと、

    データフォルダの管理に関して、

    部ごと、組織を横断するグループごと(取締役会、委員会活動等)にデータフォルダを設けて、

    その中でも「極秘・上・中・下」のようなアクセス制限設定がなされているようです。

    データ管理に関しても、

    タイトル名を「(部署名)+(現場・顧客名)+(案件名)+(日付)」といった共通の仕様を決め、

    それに基づいたデータ管理をしているようです。

     

    上記のような点にフォーカスをあてて、

    貴社の情報セキュリティマネジメントシステムにおける文書化した情報の管理が整っているか、

    見てみてはいかがでしょうか。続きを読む

ISOコラム一覧
新着順
人気順

無料相談 資料請求 訪問以来

フリーダイヤル 0120-068-268

お問い合わせ