お客様からのありがとう

神奈川 I社様
『ISO総研さん入ってスリム化してもらってるので 従業員は楽できるようになってきましたよ。』

ISO27001:2013(ISMS):2013年度規格改訂 7項「支援」規格解釈

 

PASONA_41_TP_V

 

こんにちは!!

ISO総合研究所コンサルタントの堀田です!!

さて、今日はISO27001:2013(ISMS)の「7.支援」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

7 支援

7.1 資源

組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

 

7.2 力量

組織は、次の事項を行わなければならない。

a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。

b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。

c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。

d)力量の証拠として、適切な文書化した情報を保持する 。

注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

 

7.3 認識

組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。

a)情報セキュリティ方針

b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献

c)ISMS要求事項に適合しないことの意味

 

7.4 コミュニケーション

組織は、次の事項を含め、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。)

b)コミュニケーションの実施時期

c)コミュニケ一ションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

 

7.5 文書化した情報

7.5.1 一般

組織のISMSは、次の事項を含まなければならない。

  1. a) この規格が要求する文書化した情報
  2. b) ISMSの有効性のために必要であると組織が決定した、文書化した情報

注記 ISMSのための文書化した情報の程度は、次のような理由によって、それぞれの組織で異なる場合がある。

1)組織の規模、並びに活動、プロセス、製品及びサービスの種類

2)プロセス及びその相互作用の複雑さ

3)人々の力量

7.5.2 作成及び更新

文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。

a)適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)

b)適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)

c)適切性及び妥当性に関する、適切なレビュー及び承認

7.5.3 文書化した情報の管理

ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。

a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。

b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって、該当する場合には、必ず、次の行動に取り組まなければいけない。

c)配付、アクセス、検索及び利用

d)読みやすさが保たれることを含む、保管及び保存

e)変更の管理(例えば、版の管理)

f)保持及び廃棄

ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて、特定し、管理しなければならない。

注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧及び変更の許可及び権限に関する決定などを意味する

要求事項の分になると難しく感じてしまいますが

7章が求めていることはマネジメントシステムを支援する基本要素を言っています。

「7.1 資源」では、ISO27001:2013(ISMS)を運用、継続的改善をするときに必要な資源を決定し、提供しなければなりません。

簡単に言うと、お仕事をする上で、なくてはならないもの、当たり前のことを準備するように記載されています。

決してISMSに特化したものではありません。

「7.2 力量」では社内で定めた力量を持っているか確認します。力量という子駑馬は普段聞きなれない言葉ですよね。

用語の解釈では「意図した結果を達成するために、知識及び技能を適用する能力」

今まで従業員が受けてきた教育や訓練、経験などから本当にその力量を持っているかどうか確認します。

力量が不足していると判断した場合は、再教育など何らかの処置を講じる必要があります。

何らかの教育や処置を行った場合は記録の作成も忘れてはいけません。

 

「7.3 認識」では組織の管理下で働く人々は、a~cに関して知っていなければならないということです。

a~cの項目において組織下にいる人たちがどれだけ理解しているかは常日頃の代表や管理責任者がどれだけ頻繁に声かけしているかだと思います。
リーダーシップに期待です。

「7.4 コミュニケーション」では、外部とのコミュニケーションをとるために必要な事項を決めます。
5W1Hで考えるといいですね!
「7.5 文書化された情報」では文書化された情報を作成~承認、更新までの基本が書かれています。
文書化した情報は社内で展開した後、改廃を管理しなければいけません。
その責任は明確にしておかないといけませんね!
お客様先に訪問すると、旧版のマニュアルをまだ保管していたり、新しい手順書が共有されていなかったりするところをよく目にします。
紙で管理しているとこのような出来事が多いので、ぜひデータで管理し、あまり出力しない方法をお勧めします。

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO総合研究所にお問い合わせ下さい!

 

 

 

ISO27001:2013(ISMS):2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

 

PASONA160306530I9A1806_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」規格解釈

 

 

 

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

こんにちは。

ISO総合研究所コンサルタントの栗林です。

今回はISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」についてです。

先ずは規格を見てみましょう。

7.4 コミュニケーション 

組織は,次の事項を含め,ISMS(ISO27001:2013)に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。

b)コミュニケーションの実施時期

c)コミュニケーションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

ISO(アイエスオー)ではISO9001:2015(QMS)でもISO14001:2015(EMS)でもISO27001:2013(ISMS)でも”コミュニケーション”という言葉が登場します。

ISO9001:2015(QMS)では5.5.3、ISO14001:2015(EMS)では4.4.3項、ISO27001:2013(ISMS)では7.4項に登場します。

コミュニケーションときくと、ISO(アイエスオー)とは関係ないところでも

普段使われる単語の一つです。
ISO(アイエスオー)では違うことをさしているのではないかと考えがちですが、
基本的には普段使っているコミュニケーションと変わりません。

細かいことを言うと、ISO9001:2015(QMS)とISO14001:2015(EMS)のコミュニケーションでは
言われていることが少し異なります。
ですが、基本的な考え方は同じです。
社内の従業員同士、従業員と社長、事務員と現場の方、
営業と顧客、近隣住民の方、近隣の工場の方などなど…。
お仕事や周辺環境などによってコミュニケーションをとれる対象や、
とらなくてはいけない対象は変わってきます。
(ISO9001:2015(QMS)とISO14001:2015(EMS)でも要求されている対象がかわります)

これらの必要なコミュニケーションの手段を決めておいて、
適切に行いましょうというのが目的です。
ですので、10社ISO(アイエスオー)のISO9001:2015(QMS)やISO14001:2015(EMS)を運営管理していれば、
10社違う手段を用いているともいえます。
実施している内容を見れば、共通してやっていることも多々ありますが、
すべて同じことをしているというのは稀です。
様々な影響によりやり方もやらなくちゃいけないこともかわるということも、
その一つの要因です。

やらなくてはいけないことは必要な情報を共有する場を作る
ということです。
その必要な情報についても様々あるので一概にはいえませんが、
シンプルに言えば、社内外でのコミュニケーションを上手く取る
仕組みを決めておきましょうといったところでしょうか。

 

違う内容をもう一つ。

ISO(アイエスオー)の新規認証にかかる期間は、一般的には6ヶ月と言われます。

多くの会社で運用されているISO(アイエスオー)やPマーク(プライバシーマーク)の仕組は、非常に不合理なものです。

 

例えば、ISO9001:2015(QMS)では、10年前の大量生産・大量消費時代のころのしくみが、多品種小ロットが主流になった現在でもそのまま使われています。

 

ISO14001:2015(EMS)では、80年代の環境への負荷を考えずあらゆるものを「垂れ流していた時代」につくった環境影響評価等のしくみが、現在では様々な環境対策が整備されているにもかかわらず、まったく手を付けられずに残っている事実があります。

 

ISO27001:2013(ISMS)では、3ケ月あれば新しい情報ツールが出るこの時代に、10年前の情報リスク対策が、何も見直されずに継続して運用されています。

 

Pマーク(プライバシーマーク)でも、従業員が1万人クラスの超大手企業が10年前の構築したしくみを100人未満の企業がそのまま流用しています。

 

このような事実があります。

 

そして、恐ろしい事に、このような前時代的なしくみを新規認証にあたって、あらたに社内構築するところもあるのです。

 

それに対し、私たちはすでに会社の中にあるしくみを使って無理の無いようにISO(アイエスオー)の認証・運用をするスタンスです。

 

インターネット社会の普及により、様々な情報を入手できるようになった反面、情報の見極めも必要になってくるのではないのかと思います。

文書は、ISO(アイエスオー)に必要だから作るものではなく、本来『業務に必要だから作る』もの。ISO(アイエスオー)のために1から文書を作るのではなく、既存のマニュアルや作業手順をなるべく活用させ『今できること』から行うことで、『文書化』は楽になります。
『○○の仕事を□□さんが担当する』というのが本来の役割分担ですが、『□□さんに担当してもらう仕事は…○○にしよう』といった流れで業務が行われている会社があります。

また、『できる社員』『経験のある△△さん』がいる会社では、その人を中心に仕事がまわっていることもあります。

このような会社では、ISO(アイエスオー)を導入することでこれまでのやり方が崩れ、仕事がやりにくくなることもあります。

現状ではうまく仕事が流れているとしても、景気等の外的要因や、派遣社員、中途入社、早期退職者の増加などの内的要因によって、組織を取り巻く状況は刻々と変わります。誰がやっても同じ仕事ができるようにするため、業務の標準化を行っていきましょう。
リーダーが掲げた目的・目標が理想に走りすぎな(現実よりかけ離れている)場合、既存業務とのギャップが生じ業務に影響が出ることもあります。

ISO(アイエスオー)で高い目標を掲げても、実際には実現不可能で、逆にやる気を失ってしまった、というケースも見られます。

目標を立てる際は、会社の技術上の選択肢、財政上の諸事情を配慮した上で、理念に沿った具体的目標を立てていきましょう。

ISO(アイエスオー)を構築した最初の年は、結果を出そうと必死になる必要はありません。『認証取得』という結果だけで充分です。肝心なのは、『継続的改善』です。C(内部監査等)やA(レビュー、改善)を続けていくことで、少しずつ効果が出ていくということを認識しておきましょう。

これからのISO(アイエスオー)との付き合い方は近年、ISO(アイエスオー)が経営寄りに変わってきている中で、使い方に違いがでてきています。
具体的に説明するとISO(アイエスオー)の認証維持する目的が90年代に流行った品質保証を目的としたものから実務を活かして負担をできるだけかけずに認証維持する考えに変わってきました。

品質保証を目的においていた時代は、すべての文書や記録に対して、本当にそれで問題がないのか保証する必要がありました。
そのため、なんでも手順書を作って、ルールで縛り、現場で使っている文書や記録を保証する文書や記録まで二重に作っており負担が大きくなっておりました。その結果、ISO(アイエスオー)用の活動が増え、資料もキングサイズのファイルが10個以上並び膨大に膨れ上がります。

負担をかけて、本来の業務が圧迫されることは経営の観点からも望ましいものではございません。
そのような現状から認証を辞退する組織も続出したため、審査機関の考え方も変化し、
近年は負担をかけず実務を活かしてマネジメントシステムを構築することを推奨している審査機関が増えてきております。

製造業界や建設業界等で根強くISO(アイエスオー)認証しているかどうかが、経営に大きく関わる組織はできるだけ負担がかからず、実務をしていれば認証維持できる審査機関を選び、ISO(アイエスオー)用に二重になっている無駄な仕組みは整理していくことがうまく付き合っていくコツになっています。

 

再度言います、ISO(アイエスオー)を取得しようとして手間が増えるという事はありません。

私たちはすでに会社の中にあるしくみを使ってムリの無いようにISO(アイエスオー)の認証・運用をするスタンスです。

ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」規格解釈

OZPAyatta_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの小嶋と申します。

 

今回は…

 

「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

 

では、はじめに6.2項の要求事項には何が書かれているのでしょうか?

「組織は、関係する組織の機能や階層で、情報セキュリティ目的を定めなければならない。

情報セキュリティ目的は、次の事を満たさなければならない。」

a) 情報セキュリティ方針と一致している

b) 測定可能である(但し、実行可能な場合)

c) 適用可能な情報セキュリティの要求事項、リスクアセスメント及びリスク対応の結果を考慮している

d) 適切に(必要に応じて)伝達する

e) 適切に(必要に応じて)更新する

組織は、情報セキュリティ目的を”文書化された情報”として保持しなければならない。

組織は、情報セキュリティ目的の達成方法を計画する際、次の事を決めなければならない。

f) 実施すべき事

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

概略としては

関連する部門及び階層において、情報セキュリティ目的を確立し、それらを達成するための計画を策定するという事です。

 

要求事項のポイントとしては

 ① a)~e)を満たす情報セキュリティにおいて達成するための目的を定める。

 ② f)~j)を満たす情報セキュリティ目的を達成するための実施計画を策定する。

 ③ これらの情報セキュリティ目的及びその達成に向けての活動及びその結果は、文書化した情報を保持する。

 

 

その他のポイント

 ① 情報セキュリティ方針と整合した情報セキュリティ目的を決定していること。

 ② 目的は達成度の判定が可能なこと。

 ③ 目的は、情報セキュリティ要求事項、リスクアセスメント、リスク対応結果を考慮し

ていること。

 ④ 関係者に伝達していること。

 ⑤ 事業環境の変化、組織形態の変更及び情報セキュリティインシデントの発生があった

場合は、見直し、更新していること。

⑥ 目的を達成するための計画を策定していること。

⑦ 計画には次の事項を含めていること。

実施事項、必要資源、責任者、達成期限、結果の評価方法

 

ここでの項でまず「目的」という言葉の意味を考えましょう。

【目的(objective)】とは達成すべき結果。

注記 1 目的は、戦略的、戦術的又は運用的である。

注記 2 目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。

注記 3 目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。

同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すことも

できる。

注記 4  情報セキュリティマネジメントシステム(ISMS)の場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。

 

という事です。

つまり、情報セキュリティの目的を達成する為に実施をする要項をまとめれば良いのです。

 

トップマネジメントのリーダシップの下、推進される計画です。組織の戦略に情報セキュリティを組み込み、方針展開させ、PDCAを完結する流れになります。

2章の「ISMSの目的がより鮮明に・・・②」の解説及び3章の「用語の解説3.08 目的」を参照し、リスクアプローチとの違いを理解してください。

情報セキュリティの目的は何をしたら良いのかという疑問が出てくるかと思います。

例を出してみましょう。

例えば、セキュリティ事故が起きないことは大前提の目的であると位置づけ、それを達成するプロセスを、具体的なToDoに落とし込むことです。例えば「セキュリティインシデントを3件以下」「事故ゼロを達成する為に、当社のセキュリティ弱点の強化につながる教育を計画して、全社員に対して実施する」等という感じで目的を作成すると考えやすくなるでしょう。

 

その後その目的に対するf) 実施すべき事 g) 必要な資源 h) 責任者 i) 達成期限

j) 結果の評価方法を盛り込んだような様式で管理をすることが望ましいでしょう。

 

 

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

 

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

 

話が長くなりました…

それでは、今回は「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。