いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの小嶋です。
今回はISO27001:2015年度規格改訂3項「用語及び定義」規格解釈についてのテーマでお送りさせて頂きます。
用語の解説
まずはISO27001:2015年度規格についての用語の解説をさせて頂こうと思います。
用語については正しくマネジメントシステムを理解するための基本であり、規格を読むための前提でなければなりません。そのため用語の解説を以下に記します。
・組織
自らの目的を達成するため、責任、権限、相互関係を伴い独自機能をもつ、個人又は集団。
組織という概念には、法人か否か、公的か私的かを問わず、自営業者、会社、法人、事務所、企業。当局、共同経営会社、非営利団体若しくは協会、又はこれらの一部若しくは組合せが含まれる。(ただし、これらに限定されるものではない。)
・利害関係者
ある決定事項又は活動に影響を与え得る又は影響を受ける(影響を受けると認識している)個人又は組織。
・要求事項
明示されている、通常暗黙のうちに了解されている又は義務として要求されている、ニーズ又は期待。
“通常暗黙のうちに了解されている”とは、組織及び利害関係者にとって、慣習又は慣行であることを意味する。
規定要求事項とは、例えば、文書化された情報の中で、明示されている要求事項をいう。
・マネジメントシステム
方針及び目的やそれらの目的を達成するためのプロセスを確立するための、組織の要素。
一つのマネジメントシステムは、単一又は複数の分野を取り扱うことができる。システムの要素には、組織の構造、役割、責任、計画、運用などが含まれる。マネジメントシステムの適用範囲は、組織全体、組織内の固有の機能・部門、組織横断的な一つ又は複数の機能などがある。
・トップマネジメント
最高位で組織を指揮し、管理する個人又は複数の個人。トップマネジメントは、組織内で、権限を委譲し、資源を提供する力をもっている。
マネジメントシステムの適用範囲が組織の一部だけの場合は、トップマネジメントとは、組織内のその一部を指揮し、管理する人をいう。
・有効性
計画した活動が実行され、計画した結果が達成された程度。
・方針
トップマネジメントによって正式に表明された、組織の意図と方向付け。
・目的
達成すべき結果。
目的は、戦略的、戦術的又は運用的である。目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。
同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すこともできる。
情報セキュリティマネジメントシステムの場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。
・リスク
不確かさの影響。
影響とは、期待されていることから、好ましい方向又は好ましくない方向に乖離すること。不確かさとは、事象、その結果又はその起こりやすさに関する、情報、理解又は知識に、部分的にでも不備がある状態。
リスクは、起こり得る事象及び結果、又はこれらの組合せについて述べることによって、特徴を示す。リスクは、ある事象とそれによって生じる周辺状況の変化が及ぼす結果と、その事象の発生しやすさとの組合せとして表現される。
・力量
意図した結果を達成するために、知識及び技能を適用する能力。
・文書化された情報
組織が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。
文書化された情報は、あらゆる形式及び媒体の形をとることができ、あらゆる情報源から得られる。
・プロセス
インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。
・パフォーマンス
測定可能な結果。
パフォーマンスは、定量的又は定性的な所見のいずれにも関連する。パフォーマンスは、活動、プロセス、製品、サービス、システム、又は組織の運営管理に関係する。
・外部委託する
ある組織の機能又はプロセスの一部を外部の組織が実施すること。
外部委託された機能又はプロセスはマネジメントシステムの適用範囲内にあるが、外部の組織はマネジメントシステムの適用範囲の外にある。
・監視
システム、プロセス又は活動の状況を明確にすること。状況を明確にするために、点検、監督、又は、注意深い観察が必要な場合もある。
・測定
値を決定するプロセス。
・監査
監査基準が満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための体系的で、独立し、文書化されたプロセス。
監査は、内部監査(第一者)外部監査(第二者・第三者)のいずれでも、又は複合監査(複数の分野の組合せ)もある。
・適合
要求事項を満たしていること。
・不適合
要求事項を満たしていないこと。
・修正
検出された不適合を除去するための処置。
・是正処置
不適合の原因を除去し、再発を防止するための処置。
・継続的改善
パフォーマンスを向上するために繰り返し行われる活動。
最後に
ISO27001を新規で取得しようとお考えの企業様、また、どのようにして運用したら良いかお困りの企業様がおりましたら、お気軽にご相談ください。担当者レベルで決められない可能性もあります。その場合は、代表者の見直し、マネジメントレビューなどで、代表の方と一緒になって課題解決をしていきましょう。
皆様にとってよりよい方法をご提案できればと思います。そんなお手伝いをさせていただいております。ぜひ一度ご連絡をいただければと思います。