ISO9001:2015(QMS)取得のコンサルタントをしている時に見つけたグルメスポットまとめ

 

picture

 

 

最近笑ったのはパンクブーブーのコントを観たとき。

どうもこんにちは。ISO総合研究所コンサルタントの野瀬です。

 

さて、今回はISO9001:2015(QMS)取得のコンサルタントをして、大体東京とか福岡らへんとか行ったり来たり

しているときに最近行ったお店を適当に紹介していきたいなって思います。

ジャンルとか場所は様々なので、気になったお店があると嬉しいですね!

 

はい。それではスタート!

 

■:想吃担担面【愛知・名古屋】

名古屋駅地下のエスカや、錦や栄、ユニモールにある担々麺専門店ですね。

汁なしと汁ありが選べて、ランチタイムにはご飯をミニ麻婆丼に変更できます。

中華特有の痺れるような辛さが後を引き、大量のネギの食感が良いアクセントに

なります。

だいたい名古屋に行くとここの担々麺をいただきます。

辛さも選べるので、辛いものが苦手な人もおいしくいただけます。

http://tabelog.com/aichi/A2301/A230101/23000885/

 

■:治郎丸【東京・新宿】

一時期話題になった立ち食い焼き肉やさん。

一枚ずつ頼めるうえに、種類も多くてごはんが進みます。

希少部位も多く、行く度に置いている肉の部位が違うので、

いつでもあの頃の新鮮な気持ちでお肉を食すことができるってのはありがたい。

そのうえ単価も安いから安心ですね。

並んでいることが多いかもしれませんが、立ち食いだから

回転も早くて比較的早く入れます。

http://tabelog.com/tokyo/A1304/A130401/13171155/dtlrvwlst/7903532/

 

ゲームの龍が如くの舞台でも有名な歌舞伎町あたりなので、

ゲームファンはテンション上がりますね。

 

■:饗 くろ喜【東京・浅草橋】

行く度に並んでいるような人気店ではありますが、意外と回転は早いです。

頼んだものは特製塩ラーメン。麺は細麺か平打ち麺を選べます。

細麺でしたがつるつるの麺がいい感じ。

塩のスープは美しくて、2種類のチャーシューも食感とお味が素敵。

金曜日限定で、紫 くろ喜という店名になり、

限定のラーメンもあるので、そちらも要注目。食べたことないですけどね。

http://tabelog.com/tokyo/A1310/A131001/13127743/

 

■:中国菜 OIL【大阪・福島】

大阪のグルメ激戦区、福島駅からほど近いところにある中華料理屋。

写真の麻婆豆腐は、豆板醤と山椒の辛味を油がまろやかにしている感じ。

辛いけど、ご飯に相性ぴったりで、ご飯が進むラー油がポイントの唯一二無の麻婆豆腐だと思います。

それ以外にも黒酢の酢豚やよだれ鶏など、どれもこれもお箸が進む一品揃いで

超おすすめの中華料理でした。

http://tabelog.com/osaka/A2701/A270108/27052335/

 

■:フィナンシェ【大阪・北新地】

ここでデザートのお店に。

北新地にあるスイーツバー。季節毎に出てくるスイーツのコースと

スイーツに合うワインが置いてあります。

目でも舌でも楽しめるスイーツや貴腐ワインなど珍しいワインも揃えてあります。

お客様層は殆どカップルか女性のみ。男性だけでいくとかなり

肩身が狭く感じます。

http://tabelog.com/osaka/A2701/A270101/27082349/

 

■:This is 中川 (これはなかがわです。)【大阪・淡路】

これまた大阪にあるラーメン店。

塩ベースのスープがスッキリだけど、深みのある味。鳥の風味もあり美味し。

麺は平打ちの太麺。又、トッピングあられ?が入っているのも、スープの味を引き立てていると

思います。鳥チャーシューや半熟玉子、やっこネギなどの具材も引き立っていてGood!

野瀬的塩ラーメンランキング1位です。

http://tabelog.com/osaka/A2701/A270307/27091268/

 

■:ムルギー(東京:渋谷)

渋谷にある老舗カレー店。

お店の内観は、古きよき喫茶店といった

佇まい。先の尖った山盛りのご飯(固め)とスパイシーなルーが

特徴。

とろみが少ないけれど油しっかりのインドカレー的スパイシーカレーと日本的な

甘みのあるご飯が素敵な一食でした。

http://tabelog.com/tokyo/A1303/A130301/13001732/

 

■:一平や【広島:稲荷町】

広島駅から徒歩6分くらいでいけるまぜ麺専門店。

ひき肉と大量の天かす、卵と辛味噌を豪快にまぜて食べるわけですが、

味はおいしいの一言。まぜ麺を食べた後の残りの具に、

ご飯を混ぜ合わせるとこれがまたおいしい。

広島に寄ることがあると必ずここに寄ります。完全に癖になっています。

http://tabelog.com/hiroshima/A3401/A340102/34014138/

 

 

というわけで、大阪と東京がやや多かったですが、いかがでしたでしょうか?

気になったお店があれば、ぜひ一度足を運んでみてください。

 

 

「というわけでってなんだよ。なんのブログだよ。」という声が聞こえてきそうですが華麗にスルーさせていただき、

今回はお開きとさせていただきます。

 

追記:ISO9001:2015(QMS)、ISO14001:2015(EMS)、ISO27001:2013(ISMS)の運用にお困りの皆様、ぜひ当社まで

お声掛けください。無料で相談に参ります。

ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈

 

TSU863_kakigooriumai_TP_V

 

 

こんにちは、ISO総合研究所コンサルタントの藤川健太郎です。

最近はめっきり暖かくなり、エアコンを使う事が多くなってきたのではないでしょうか?

私はよくエアコンをつけ、お腹を出したまま寝てしまう事が多いので朝腹痛で起きる事が多くなってます。泣

 

そして不幸な事に生炙りレバーを食べた際にキレイに当たってしまい相乗効果な始末です。

トホホ…。

 

さて、私のお腹の事はどうでもよいとして今回はこちらです!

ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の規格改訂シリーズということで今回のテーマは「ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈」

 

まず今回の規格改定においての特徴としてマネジメントシステム規格の整合化があります。

2012年以降に改定された規格については、整合化をはかるために構造が統一されることになりました。どの規格を見ても同じ項番にあるなどです。これをハイレベルストラクチャーと呼び、複数規格の認証取得をしている場合には、統合しやすくなっています。

 

 

6.1.1 ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の計画に際して、4.1の課題及び4.2の要求事項を考慮し、次の事項への対応に必要なリスク及び機会を決定する。

1)QMSがその意図した結果を達成し得ることを保証する。

2)望ましい影響を向上させる

3)望ましくない影響を防止又は低減する

4)改善を達成する

 

6.1.2 リスク及び機会に対応するために、次に示す事項を含む計画を策定する。

1)リスク及び機会への対応の処置

2)これら処置のQMS(キューエムエス)プロセスへの統合及び実施の方法、並びに処置の有効性の評価の方法

リスク及び機会への対応の処置は、製品/サービスの適合性に対する潜在的影響に見合うものとする。

 

注記1

リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

注記2

機会は,新たな慣行の採用,新製品の発売,新市場の開拓,新たな顧客への取組み,パートナーシップの構築,新たな技術の使用,及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得る。

 

 

今回のISO9001:2015(アイエスオーキュウセンイチ:QMS)の規格改訂の一番の追加要求になります。リスク及び機会に対応するために処置をしろと要求しています。

ではリスクと機会とは何かというと、リスクは、不確かさの影響。リスクについてはイメージが沸きやすいかもしれません。

・製品の欠陥や社員の流動などの組織内部のリスク
・取引先の倒産や供給先の不祥事などの外部のリスク
・災害や景気の浮き沈みなどの社会のリスク

組織は常にさまざまなリスクにさらされています。

今回、リスクが要求事項に組み込まれたのも、これらのリスクによって顧客満足が満たせなくなるという事実を無視できなくなっているからです。

『リスク』とは『変化』のことです。
時代が変われば、これまでは問題なかったことも、大きなリスクになることがあります。

例えば、現在の社員の平均年齢を把握していますか?
現在は50歳だとしたら、このまま何もしなければ20年後には誰もいなくなります。
もちろん、20年の間に新しいスタッフが入ったりするでしょう。
しかし、今までのように雇用できるでしょうか?

これも変化の一つです。

 

一方、『機会』とは何でしょうか。
組織は真面目に製品を作って売り、内的外的にも取り立てて大きな問題はない、つまり表だったリスクはないとします。

それでも時代は変動し、顧客の望むものは刻々と変化していきます。
その時代のニーズに気付かずに顧客の『望まないもの』を提供するのは大きな機会の損失となります。

『機会』は『リスク』のように表面に表れにくいので、つい見過ごしがちです。
改正版の要求事項では、機会についても何らかの対処をすることを求めています。

そもそも、製品には「顧客が望むもの」と「顧客が望まないもの」の二つがあります。
マネジメントとは、顧客が「望むもの」と「望まないもの」を区別して、「望まないもの」を排除し、「望むもの」を適切なタイミングで提供することで顧客満足を高めていこうというものです。

望まないものを提供してしまうことが「リスク」の一部だと考え、望むものを提供することが「機会」の一部と考えるべきだと思います。

 

この二つに対応する処置を決めた計画を立てておけと要求しています。

よく見ると、文書化した情報の記載がないので、ここに文書・記録の要求はないので、審査レベルで言えば、リスク機会の対応する処置の計画は、口頭で話せればよいということです。

またこの情報が求められている要求項番としては9.3.2のマネジメントレビューのインプットです。組織の代表者への報告事項として求められており、ここで文書化した情報の保持が求められるので事実上、マネジメントレビュー記録に記載が残る形になります。

 

現在、規格改訂セミナーや実際に改定作業を行っている方もいるでしょう。

是非、ISO総合研究所のコンサルタントにご相談ください。

ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」規格解釈

 

TSUCH160130540I9A6568_TP_V

 

 

いつもお世話になっております。

ISO総合研究所コンサルタントの濱田章弘(はまだあきひろ)と申します。

 

さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、今回のテーマは、

『ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」』について規格解釈をさせていただきたいと思います。

まずは第1章で規格が何を求めているかについて確認してみましょう。

 

■第1章

『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』概要

 

規格改訂後の5.1項「リーダーシップ及びコミットメント」では、

5.1.1一般と5.1.2顧客重視の2パートに分けることが出来ます。

まずは5.1.1一般、その後5.1.2顧客重視を見ていきます。

 

5.1.1 一般

トップマネジメントは、次に示す事項によって、品質マネジメントシステムに関するリーダーシップ及びコミットメントを実証しなければならない。

 

a)品質マネジメントシステムの有効性に説明責任(accountability)を負う。

 

b)品質マネジメントシステムに関する品質方針及び品質目標を確立し、それらが組織の状況及び戦略的な方向性と両立することを確実にする。

 

c)組織の事業プロセスへの品質マネジメントシステム要求事項の統合を確実にする。

 

d)プロセスアプローチ及びリスクに基づく考え方の利用を促進する。

 

e)品質マネジメントシステムに必要な資源が利用可能であることを確実にする。

 

f)有効な品質マネジメント及び品質マネジメントシステム要求事項への適合の重要性を伝達する。

 

g)品質マネジメントシステムがその意図した結果を達成することを確実にする。

 

h)品質マネジメントシステムの有効性を寄与するよう人々を積極的に参加させ、指揮し、支援する。

 

i)改善を促進する。

 

j)その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。

 

※注記 この国際規格で“事業”という場合、それは、組織が公的か私的化、営利か非営利かを問わず、組織の存在の目的の中核となる活動という広義の意味で解釈され得る。

 

5.1.2 顧客重視

トップマネジメントは、次の事項を確実にすることによって、顧客重視に関わるリーダーシップ及びコミットメントを実証しなければならない。

 

a)顧客要求事項及び適用される法令・規制要求事項を明確にし、理解し、一貫してそれを満たしている。

 

b)製品及びサービスの適合並びに顧客満足を向上させる能力に影響を与え得る、リスク及び機会を決定し、取り組んでいる。

 

c)顧客満足向上の重視が維持されている。

 

■第2章

『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』についての規格解釈

 

トップマネジメントは、組織がISO9001規格の規定する要件に従って品質経営体制を確立し、それに則って業務実行を指揮、管理し、また、時代の変化に対応して経営戦略としての品質方針及び組織の品質目標(5.2項)を見直し変更し、必要な顧客満足の状態を継続的に実現、維持することに、トップマネジメントとしての統率力を発揮しなければならず、職を賭して取り組まなければならない。

 

トップマネジメントは、そのような役割と責任を遂行する証として、a)~k)を効果的に実行しなければならない。

a)は、コミットメントに関し、他はリーダーシップに関する。また、b)、c)、e)、f)、j)項は、トップマネジメントが直接的責任を負うべき分野を指し、d)、g)、h)、i)項はトップマネジメントが統率力を発揮すべき重要分野を指す。

 

a)は、トップマネジメントが職責を全うしなければならないということであり、08年版の「品質経営体制の有効性の継続的改善にコミットメントする」の規定条文の用語を変えた書き直しである。

 

b)は、組織の存続発展を図る組織の経営活動の枠組みの中で品質経営の活動行うということであり、c)は、規格の規定により新たな品質経営体制を構築するのでなく、規定は組織の既存の品質と顧客対応に関係する業務の手はずに反映させること、或いは、規格の規定を満たして整えた手はずの通りに組織の経営管理の実務が行なわれているという意味である。b),c)を合わせて規格の規定に従って品質経営体制を確立し、その下で品質経営を行う (4.4項)という規格導入の基本条件を満たす最終責任がトップマネジメントにあることを示している。

 

d), h), i)は、規格の序文と規定と「品質経営の原理」として規定されている、品質経営の業務の実行に係わる規格の論理である。また、j)は、管理者や監督者が委ねられた職責を積極的に果たすことを促す組織風土、作業環境を創造するというトップマネジメントの責任を指す。

 

■第3章

予想される極端な審査要求

①品質マネジメントシステムと事業との統合の証拠

②トップマネジメントの責任に関するトップマネジメントへの質問

 

規格改訂の目的で一番大きいものは、マネジメントシステムと事業との統合化、また項番5にリーダーシップが導入されてお分かりの通り代表者の責任の割合が強くなったことであることは明白です。

 

いわゆる実態に沿ったルールになっているか、代表者がマネジメントシステムにしっかり関わっているのかです。

ポイントを押えておけば規格改訂も全然怖くありません。

 

手前味噌ですが弊社でもありがたいことに、規格改訂の書籍

【これ1冊でできる・わかる これ1冊でできるわかる ISO9001―やるべきこと、気をつけること  古江 一樹【監修】/ISO総合研究所【著】】

を出版させていただきました。

ご興味がございましたら書店にてお買い求めくださいませ。

 

また、もし御社がISO9001:2015(QMS)、ISO14001:2015(EMS)、ISO27001:2015(ISMS)、プライバシーマーク(Pマーク)の取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

 

ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈

 

MAX85_searchsa20140531_TP_V

 

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの松口と申します。

 

梅雨の季節がやってきましたね。私は1年の中で一番嫌いな時期です。

早く夏が来ないかなと思っている今日この頃です。

夏といったら、海、バーベキュー、お祭り、花火と楽しみがいっぱいです。

プライベートでは、息子がどんどん成長しており、最近ではパパとかママとか話すようになってきました。

息子の最近のマイブームはトーマスです。トーマスの本を買ってあげたら離しません。

息子にトーマスの本を買ってあげるためにお仕事頑張ります。息子を溺愛している私です。

 

まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らせて頂きたいと思います。

前回のブログでは「ISO9001:2015(QMS):2015年度の概要」をご紹介させて頂きましたが、

今回は「ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈」をご紹介させて頂きます。

 

まずはJIS Q 27001:2014の要求事項を見てみましょう。

下記に記載していきます。JIS Q 27001:2014に記載されている要求事項はよくわからないことが書いてあり解釈するのに苦労するかと思います。

が、下記に概要を簡単に書かせて頂きますのでご興味があればお読みください。

 

6 計画

6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMS(ISO27001:2013)の計画を策定するとき,組織は,4.1 に規定する課題及び4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。

  1. a) ISMS(ISO27001:2013)が,その意図した成果を達成できることを確実にする。
  2. b) 望ましくない影響を防止又は低減する。
  3. c) 継続的改善を達成する。

 

組織は,次の事項を計画しなければならない。

  1. d) 上記によって決定したリスク及び機会に対処する活動
  2. e) 次の事項を行う方法

1) その活動のISMSプロセスへの統合及び実施

2) その活動の有効性の評価

 

これらの要求事項のポイントとしては、ISMS(ISO27001:2013)の計画において、情報セキュリティに関連するリスクだけでなく、マネジメントシステムのリスクを含めた全体のリスクを対象としていることです。特に4.1の「組織及びその状況の理解」より決定した課題から、必要があるリスクを決定しましょうとのことです。

リスク及び機会に対処する活動には、ISMS(ISO27001:2013)の全体の活動、目的の達成のための計画、リスク対応計画などがあります。

この辺を頭の片隅に入れて考えて見るとわかりやすいかもしれません。

 

6.1.2 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。

c) 次によって情報セキュリティリスクを特定する。

1) ISMS(ISO27001:2013)の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。

2) これらのリスク所有者を特定する。

d) 次によって情報セキュリティリスクを分析する。

1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。

2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。

3) リスクレベルを決定する。

e) 次によって情報セキュリティリスクを評価する。

1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。

2) リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

それでは今度はこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティのリスクアセスメントの手順を定めて実施することです。

情報の「機密性」「完全性」及び「可用性」の喪失に伴うリスクの影響を考慮し、組織として認識する情報セキュリティを特定する必要があります。リスク分析することにより、情報資産におけるリスクレベルを洗い出し、実際に生じた場合に

起こり得る結果、現実的な起こりやすさについてアセスメントを行う必要があります。

その結果、リスク対応計画に反映していくことになります。

 

6.1.3 情報セキュリティリスク対応

組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。

a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。

b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。

d) 次を含む適用宣言書を作成する。

- 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由

- それらの管理策を実施しているか否か

- 附属書A に規定する管理策を除外した理由

e) 情報セキュリティリスク対応計画を策定する。

f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

 

それでは続きましてこちらの要求事項のポイントを見てみましょう。

まずはa)~f)の項目を満たす情報セキュリティ対応の手順を定めて実施することです。

リスク対応のために必要な管理策を決定し、附属書Aに記載されている管理策と比べ、必要な管理策の見落としがないかを確認します。そして適用宣言書の作成をします。その際に管理策の採否及びその理由は記載するようにしましょう。

 

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。

情報セキュリティ目的は,次の事項を満たさなければならない。

a) 情報セキュリティ方針と整合している。

b) (実行可能な場合)測定可能である。

c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。

d) 伝達する。

e) 必要に応じて,更新する。

組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。

組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。

f) 実施事項

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

それでは最後にこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティにおいて達成する目的を定めて実施することです。

次にf)~j)の項目を満たす情報セキュリティ目的を達成するための実施計画を策定します。

 

自社の運用でお悩み等がございましたら、是非一度ISO総合研究所にお問い合わせください。コンサルタントがご訪問させて頂きアドバイスをさせて頂きます。

ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

_shared_img_thumb_PAK77_sumahodetel20140823111801_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの千葉です。

世の中クールビズのスタートも早くなりましたね。

5月は暑かったり涼しかったり、と着る服にも困ることが多かったですね。

しかし、そろそろ梅雨入りも目前になり、暑い日が続くようになりましたね。

これからはじめじめした空気との戦いになりますね。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈」についてお話をしたいと思います。

現在、ISO27001:2013(ISMS)だけでなく、ISO9001:2015(QMS)、ISO14001:2015(EMS)も規格改訂により3つの規格が10章立てで構成されることになりました。

複数規格をお持ちの企業様にとっては、統合した仕組みを作りやすくなったのではないでしょうか。

 

 

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

 

 

章立てがかわったこともあり、少し考えてしまうかもしれません。ただ、旧規格から比べて、条文の言葉や項目の並びなどは変わりましたが、大枠の考え方などを全く別の方向に向ける必要はないように思います。

大きな部分では、起こった不適合に対して対応(処置)する。次にその原因を追究する。そして再度起こらないような処置を行う。

この大きな流れは変わりません。

ただし、なにも変わらないのであればそもそも言葉を変える必要がありません。大きな部分で変わらなくても細部では変更があるということを頭の片隅に置いていただくと良いと思います。

 

すこし具体に見ていきます。

 

まず、

 

1) その不適合を管理し,修正するための処置をとる。

 

発生した不適合について、きちんと把握する、コントロールできる状況に置くということです。そして、その状態から対応をしていきましょうということ。

 

2) その不適合によって起こった結果に対処する。

 

その不適合が発生し、どのような事態になったのか。その起きた事象に対応しましょうということ。

 

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

 

この項目から原因をつぶしていく対応が始まります。

 

1) その不適合をレビューする。

 

起こってしまった不適合について、評価を実施します。

2) その不適合の原因を明確にする。

 

言葉のままです。原因がどこに起因するのかきちんと確認します。

 

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

 

ここが抜けていることが多く見られますので、注意が必要なところです。以前の規格ではあまり触れられていませんでした。

ここでは、過去に起こった不適合の内容と照らし合わせ、似ているケースや同様のケースも確認する必要があります。

 

ここまで出来ると、ここからは実際の行動に変わっていきます。

 

  1. c) 必要な処置を実施する。

 

起こってしまった不適合について、a)項、b)項で認識した内容を元に、その原因を取り除くための処置を行います。

今までで言う「再発防止」になります。

 

  1. d) とった全ての是正処置の有効性をレビューする。

 

a)~c)項にて行った不適合に対する是正処置について、問題ないかレビューを行います。

レビュー=評価 とお考えください。

また、ISOの中では「有効性」という言葉が出てきます。

ここでは、「不適合に対する是正処置が有効に機能しているか」という視点で考えてみてください。

同じような問題が発生しないようであれば、有効であると考えられるでしょう。

 

  1. e) 必要な場合には,ISMS の変更を行う。

 

是正処置を行うと同時に、ISO27001:2013(ISMS)の仕組みに対する変更が必要ないかどうか、確認を行ってください。変更が必要な場合は忘れずに変更を行いましょう。

 

 

また、ISO27001:2013(ISMS)の要求事項では以下の文言があります。

 

————————————————————–

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

————————————————————–

つまり、是正処置と不適合に関しては、連動していなければおかしい、という話になりますね。

また、ISO27001:2013(ISMS)の要求事項にあるとおり、「文書化した情報を保持」しなければならないことになっています。

簡単に言うと、「記録に残す」という形です。

後から自社の取り組みを振り替えられるような取り組みをISOの中でも求められている、ということがわかりますね。

 

  1. f) 不適合の性質及びとった処置

不適合の内容とその際の処置は、今後の是正処置やリスク管理のためにも記録に残すことが求められています。

 

  1. g) 是正処置の結果

社内で行った是正処置に対しても、あとから社内で振り返るためにも記録に残していくことが求められています。

 

改善事項として考えた場合にも、是正処置の対応を社内で手順を残した上で記録に残す必要があることがわかりますね。

 

では、次に「継続的改善」について考えてみましょう。

規格要求事項では以下のように書かれています。

 

—————————————————————

10.2 継続的改善

組織は,ISMS の適切性,妥当性及び有効性を継続的に改善しなければならない。

—————————————————————

 

つまり、ISO27001:2013(ISMS)では、ただ仕組みを構築することが目的でなく、それをいかに活用できるか、がポイントになりますね。

おそらく、関わっている方は社内の改善に対しても意識出来ているのではないでしょうか。

 

今後も、是非規格要求事項とISO27001:2013(ISMS)について考えてみてください。

ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈

 

max16011508_TP_V

 

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの田牧です。

 

5月の連休を過ぎ、まだもう少し春を満喫したい!!

そんなことを思っていましたが、地球の温暖化なのか、夏まっしぐらな日々か続き、体調は崩されていませんでしょうか。

私事ではありますが、先日、子どもの運動会に参加してきました。

私の子供のころには、運動会と言えば「秋」の10月頃だったと記憶していますが、最近はこれくらいの時期に開催される学校も多いようですね。

元々は、夏の暑い時期に運動会の準備・練習・本番を迎えることでの参加者への負担を考慮したものだと聞いていますが、あまり変わらなくなってきました。

今週末にももう一度運動会があり、熱中症対策をしなければと、頭を悩ましています。

 

と、近況報告はこれくらいに、今回のテーマは『ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」について』です。

 

まずは、規格を確認して見ましょう。

 

JIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)では

8.1 運用の計画及び管理

組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2 項で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。

組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。

組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。

 

また、ここに出てきた6.1項及び6.2項も確認しておきます。

と思いましたが、かなりの長文となるのでどういった項番だったかというと

 

6.1 リスク及び機会に対処する活動

6.1.1 一般

6.1.2 情報セキュリティリスクアセスメント

6.1.3 情報セキュリティリスク対応

6.2 情報セキュリティ目的及びそれを達成するための計画策定

 

ということでした。やっぱり分かりづらいですね。

ですので、少しずつ紐解いていきましょう。まずは最初の一文です。

「組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。」

から見ていきましょう。

ここで求め求められているのは

情報セキュリティ要求事項を満たすために、項番6.1(=リスク及び機会に対する活動)で決定したことを計画して、実施し、管理すること。つまり、項番6.1では情報セキュリティリスクを認識し洗い出し、セキュリティ活動=目的(目標)を『計画』しましたが、今回はその『計画』を『実行』することが求められています。

よく言われるPDCAサイクルにおけるD=Doの部分が求められていることが読み取れます。

 

そして次に

「組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。」

『実行』されることが計画的にまた確実に行われるように、わかりやすく、明確なかたち、ここでは「文書化」と表現されていますが、記録を残すことが求められています。

 

そして

「組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。」

『実行』の内容については管理することで、その管理の中で変更があれば、見直し、修正、また必要な対応を求めています。

 

最後に

「組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。」

外部委託するものがあれば、そのプロセスを明確に、そのことを管理することを求められています。(このことは付属書AのA.15供給者関係に関連する部分ですので、今回は細かく触れませんが・・・)

改めで、簡単にこのJIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)8.1 運用の計画及び管理についてまとめますと

6章にて目的(目標)の達成と課題解決のための計画(Plan)を実行(Do)することが求められ、その管理についての要求事項について記載があるということになります。

 

自分で記載していても、この辺りはわかりにくいと感じますね。(無理にそうしているのではありません。恐らく私の文才がただただないのだと思うのですが。

 

ということでISO27001:2013(ISMS)のご取得をご検討中で、本ブログを読まれ、少しでも「?」と思われるようなことがあれば、お気軽に弊社、ISO総合研究所までご連絡ください!!

ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの残田です。

 

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

」について書いていきたいと思います。

 

 

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

 

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) ISMS に関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

組織は,次に示す事項を行わなければならない。

  1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  2. d) 各監査について,監査基準及び監査範囲を明確にする。
  3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. f) 監査の結果を関連する管理層に報告することを確実にする。
  5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

 

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

 

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 組織は,次に示す事項を行わなければならない。

  1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
  2. b) 各監査について,監査基準及び監査範囲を定める。
  3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  4. d) 監査の結果を関連する管理層に報告することを確実にする。
  5. e) 遅滞なく,適切な修正を行い,是正処置をとる。
  6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

 

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

組織は,次の事項を行わなければならない。

  1. a) 各監査について,監査基準及び監査範囲を明確にする。
  2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  3. c) 監査の結果を関連する管理層に報告することを確実にする。

組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

 

 

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

ここからは内容を細かく見ていきたいと思います。

 

>a) 次の事項に適合している。

>1) ISMS に関して,組織自体が規定した要求事項

>2) この規格の要求事項

→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

 

 

 

>b) 有効に実施され,維持されている。

→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

 

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

 

 

 

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

 

 

 

  1. d) 各監査について,監査基準及び監査範囲を明確にする。

→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

 

 

 

  1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

→自分がしている仕事内容を監査することができません。

 

 

 

  1. f) 監査の結果を関連する管理層に報告することを確実にする。

→監査結果を関連部署の部門長等に報告する必要があります。

 

 

 

  1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

 

 

 

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

 

 

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。

ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈

 

_shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの戸沼です。

 

今回のブログでは、「ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈」について書かせていただきます。

 

内容としては、

大きく下記の3つの項目をご説明させていただきます。

 

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

2.ISO27001(ISMS):2013年版で明確にされたこと

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

~~~~~~~~~~~~~~~~~~~~~~~~

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

 

まずは、ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比からみていきましょう。

 

ISO27001(ISMS):2006年版における構成は下記の通りです。

4.3 文書化に関する要求事項

4.3.1 一般

4.3.2 文書管理

4.3.3 記録の管理

 

ISO27001(ISMS):2013年版における構成は下記の通りです。

7.5 文書化した情報

7.5.1 一般

7.5.2 作成及び更新

7.5.3 文書化した情報の管理

 

上記のように章の構成は変わっています。

2006年版では「文書」と「記録」という2つの要素を管理すべきと述べられているのに対して、

2013年版では「文書化した情報」という1つの要素にまとめられていることが分かります。

 

このような変更がなされた背景には、社会のIT化があります。

ひと昔前では「文書・記録=紙媒体」でしたが、

現代においては「文書・記録=デジタル媒体」であるところも少なくありません。

例えば、ある運送会社様では、

荷物の積み下ろしの際の手順書は注釈を入れた動画になっていました。

同時に、荷物の積み下ろしがルール通りにできているかのチェックも動画とiPadによるチェックリストをもとに行われていました。

このように、現代では紙媒体のみならず、

デジタル媒体(WordやExcelデータ、動画データ、音声データ)も文書化された手順にも記録にもなりえますし、

生体認証(指紋、声紋、虹彩、静脈等)による認識履歴も記録になりえますので、

これまでの「文書」と「記録」という表現が見直されてきました。

 

ISO27001(ISMS):2013年版の規格要求事項を読み進めていくと、

ISO27001(ISMS):2006年版において「文書」とされていた事項と同一の取扱いが求められるのが、

「文書化した情報として利用可能である」「~プロセスについての文書化した情報を保持」といった表記になっている箇所となります。

同様に、

ISO27001(ISMS):2006年版において「記録」とされていた事項と同一の取扱いが求められるのが、

「~の証拠として、文書化した情報を保持する」といった表記になっている箇所となります。

 

媒体や手段の違いはあれど、

大きな要素としては変わっていないことが分かります。

 

~~~~~~~~~~~~~~~~~~~~~~~~

2.ISO27001(ISMS):2013年版で明確にされたこと

 

次に、ISO27001(ISMS):2013年版で明確にされたことをみていきましょう。

 

ISO27001(ISMS):2006年版にはない表現として、下記のような記述があります。

・「適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)」

・「適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)」

・「配付,アクセス,検索及び利用」

 

一見して分かることは、

2013年版では、文書化した情報の管理として、デジタル管理も想定された規格要求が明確化されました。

 

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、

デジタルデータの管理方法が部ごと、個人ごと、保管ツールごとに異なり、

社内の標準的なルールが定まっていないということです。

この点に関しては、今後ますますデジタルデータが増えていくことを見据えて、

最適解を社内で一度協議してみるのがよさそうです。

 

~~~~~~~~~~~~~~~~~~~~~~~~

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

最後に、ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきことを考えていきます。

 

私たちコンサルタントは、

様々な業種・業態の組織様のお手伝いをさせていただく中で、

役得と言いますか、様々な形・手段の「文書化した情報の管理」を拝見させていただいております。

その中で感じることは、

デジタルデータの情報管理に関しては、紙媒体の情報管理と比較して、まだまだ改善の余地がある組織様が多いということです。

 

うまく取り決めていらっしゃる組織様ですと、

データフォルダの管理に関して、

部ごと、組織を横断するグループごと(取締役会、委員会活動等)にデータフォルダを設けて、

その中でも「極秘・上・中・下」のようなアクセス制限設定がなされているようです。

データ管理に関しても、

タイトル名を「(部署名)+(現場・顧客名)+(案件名)+(日付)」といった共通の仕様を決め、

それに基づいたデータ管理をしているようです。

 

上記のような点にフォーカスをあてて、

貴社の情報セキュリティマネジメントシステムにおける文書化した情報の管理が整っているか、

見てみてはいかがでしょうか。

2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

_shared_img_thumb_AL204_uwamedukai20140830153709_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈

COW121004713_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの鈴木と申します。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈」というテーマで書かせていただきます!

ISO27001(ISMS):2013年版なんて今さらだと感じる方はいると思いますが、今回ISO9001:2015(QMS)、ISO14001:2015(EMS)も2015年版が出て規格改定を始めている方も多いと思いますので、書かせていただきます!

ISO27001(ISMS):2013年版、ISO9001(QMS):2015年版、ISO14001(EMS):2015年版での要求事項の項番が統一されているので、少しは役に立つと思います。

 

まずはISO27001(ISMS):2005年版とISO27001(ISMS):2013年版の要求事項に書かれている部分を見てみましょう。

 

□ISO27001(ISMS):2005版

8 ISMS の改善

8.1 継続的改善

組織は,情報セキュリティの基本方針及び目的,監査結果,監視した事象の分析,是正及び予防の処置,並びにマネジメントレビューを利用して,ISMS の有効性を継続的に改善しなければならない。

8.2 是正処置

組織は,ISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにとらなければならない。是正処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 不適合の特定
  2. b) 不適合の原因の決定
  3. c) 不適合の再発防止を確実にするための処置の必要性の評価
  4. d) 必要な是正処置の決定及び実施
  5. e) とった処置の結果の記録(3.3 参照)
  6. f) とった是正処置のレビュー

8.3 予防処置

組織は,ISMS の要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は,起こり得る問題の影響に見合ったものでなければならない。予防処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 起こり得る不適合及びその原因の特定
  2. b) 不適合の発生を予防するための処置の必要性の評価
  3. c) 必要な予防処置の決定及び実施
  4. d) とった処置の結果の記録(3.3 参照)
  5. e) とった予防処置のレビュー

組織は,変化したリスクを特定し,大きく変化したリスクに注意を向けて,予防処置についての要求事項を特定しなければならない。

予防処置の優先順位は,リスクアセスメントの結果に基づいて決定しなければならない。

注記 不適合を予防するための処置は,多くの場合,是正処置よりも費用対効果が大きい。

 

 

□IS027001(ISMS):2013版

10 改善

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

  1. a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。

1) その不適合を管理し,修正するための処置をとる。

2) その不適合によって起こった結果に対処する。

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

1) その不適合をレビューする。

2) その不適合の原因を明確にする。

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

  1. c) 必要な処置を実施する。
  2. d) とった全ての是正処置の有効性をレビューする。
  3. e) 必要な場合には,ISMS の変更を行う。

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

  1. f) 不適合の性質及びとった処置
  2. g) 是正処置の結果

 

 

 

 

 

はい、それでは項番の解説をしていきます!!!

 

■解釈のポイント

要約すると、

・不適合が起きた場合は管理して修正するための処置をとり、不適合によっておこった結果に対処する。

・その不適合の再発防止のため、不適合をレビューし、原因を明確にし、似たようなケースがないか、又は想定されないかを明確にし、原因除去のための処置を取る必要があるのか、必要性を評価する。

・必要な処置を実施、その(不適合のもと影響も著しさに応じた)是正処置がいかに有効であったか、有効性をレビューし、それにより必要が発生した場合は、環境マネジメントシステムの変更も行う。

・不適合の性質及びそれに対してとった処置、是正処置の結果を文書化し、保持する

 

上記を実施すれば、この10.1項「不適合及び是正処置」の要求事項に関しては満たされます。

 

〇旧規格との違い

ISO27001(ISMS):2005年版には、修正するための処置はありませんでしたが、ISO27001(ISMS):2013年版の規格から修正するための処置の要求事項が追加されています。

また、逆になくなった点として、予防処置の要求事項がなくなりました。

 

 

今回はISO27001(ISMS):2013年版10.1項「不適合及び是正処置」規格解釈というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

 

また、ISO(アイエスオー)を新規取得したい、またはISO(アイエスオー)のための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

 

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。