• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈

COW121004713_TP_V

いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの鈴木と申します。

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈」というテーマで書かせていただきます!

ISO27001(ISMS):2013年版なんて今さらだと感じる方はいると思いますが、今回ISO9001:2015(QMS)、ISO14001:2015(EMS)も2015年版が出て規格改定を始めている方も多いと思いますので、書かせていただきます!
ISO27001(ISMS):2013年版、ISO9001(QMS):2015年版、ISO14001(EMS):2015年版での要求事項の項番が統一されているので、少しは役に立つと思います。

まずはISO27001(ISMS):2005年版とISO27001(ISMS):2013年版の要求事項に書かれている部分を見てみましょう。

ISO27001(ISMS):2005版

8 ISMS の改善

8.1 継続的改善

組織は,情報セキュリティの基本方針及び目的,監査結果,監視した事象の分析,是正及び予防の処置,並びにマネジメントレビューを利用して,ISMS の有効性を継続的に改善しなければならない。

8.2 是正処置

組織は,ISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにとらなければならない。是正処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

a) 不適合の特定
b) 不適合の原因の決定
c) 不適合の再発防止を確実にするための処置の必要性の評価
d) 必要な是正処置の決定及び実施
e) とった処置の結果の記録(3.3 参照)
f) とった是正処置のレビュー

8.3 予防処置

組織は,ISMS の要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は,起こり得る問題の影響に見合ったものでなければならない。予防処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

a) 起こり得る不適合及びその原因の特定
b) 不適合の発生を予防するための処置の必要性の評価
c) 必要な予防処置の決定及び実施
d) とった処置の結果の記録(3.3 参照)
e) とった予防処置のレビュー

組織は,変化したリスクを特定し,大きく変化したリスクに注意を向けて,予防処置についての要求事項を特定しなければならない。
予防処置の優先順位は,リスクアセスメントの結果に基づいて決定しなければならない。

注記 不適合を予防するための処置は,多くの場合,是正処置よりも費用対効果が大きい。

IS027001(ISMS):2013版

10 改善

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。
 1) その不適合を管理し,修正するための処置をとる。
 2) その不適合によって起こった結果に対処する。
b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。
 1) その不適合をレビューする。
 2) その不適合の原因を明確にする。
 3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) とった全ての是正処置の有効性をレビューする。
e) 必要な場合には,ISMS の変更を行う。

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

f) 不適合の性質及びとった処置
g) 是正処置の結果

はい、それでは項番の解説をしていきます!!!

解釈のポイント

要約すると、

・不適合が起きた場合は管理して修正するための処置をとり、不適合によっておこった結果に対処する。

・その不適合の再発防止のため、不適合をレビューし、原因を明確にし、似たようなケースがないか、又は想定されないかを明確にし、原因除去のための処置を取る必要があるのか、必要性を評価する。

・必要な処置を実施、その(不適合のもと影響も著しさに応じた)是正処置がいかに有効であったか、有効性をレビューし、それにより必要が発生した場合は、環境マネジメントシステムの変更も行う。

・不適合の性質及びそれに対してとった処置、是正処置の結果を文書化し、保持する

上記を実施すれば、この10.1項「不適合及び是正処置」の要求事項に関しては満たされます。

 

旧規格との違い

ISO27001(ISMS):2005年版には、修正するための処置はありませんでしたが、ISO27001(ISMS):2013年版の規格から修正するための処置の要求事項が追加されています。

また、逆になくなった点として、予防処置の要求事項がなくなりました。

今回はISO27001(ISMS):2013年版10.1項「不適合及び是正処置」規格解釈というテーマで書かせていただきました。また読んでいただけることを楽しみにしております。ありがとうございました。

また、ISO(アイエスオー)を新規取得したい、またはISO(アイエスオー)のための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

  • ムダチェックリスト無料プレゼント
  • お役立ちツール無料プレゼント
カテゴリー:ISOコラム タグ:ISO コンサルタント 規格改訂 規格解釈
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ