ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの残田です。

 

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

」について書いていきたいと思います。

 

 

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

 

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) ISMS に関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

組織は,次に示す事項を行わなければならない。

  1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  2. d) 各監査について,監査基準及び監査範囲を明確にする。
  3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. f) 監査の結果を関連する管理層に報告することを確実にする。
  5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

 

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

 

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 組織は,次に示す事項を行わなければならない。

  1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
  2. b) 各監査について,監査基準及び監査範囲を定める。
  3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  4. d) 監査の結果を関連する管理層に報告することを確実にする。
  5. e) 遅滞なく,適切な修正を行い,是正処置をとる。
  6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

 

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

組織は,次の事項を行わなければならない。

  1. a) 各監査について,監査基準及び監査範囲を明確にする。
  2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  3. c) 監査の結果を関連する管理層に報告することを確実にする。

組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

 

 

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

ここからは内容を細かく見ていきたいと思います。

 

>a) 次の事項に適合している。

>1) ISMS に関して,組織自体が規定した要求事項

>2) この規格の要求事項

→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

 

 

 

>b) 有効に実施され,維持されている。

→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

 

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

 

 

 

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

 

 

 

  1. d) 各監査について,監査基準及び監査範囲を明確にする。

→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

 

 

 

  1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

→自分がしている仕事内容を監査することができません。

 

 

 

  1. f) 監査の結果を関連する管理層に報告することを確実にする。

→監査結果を関連部署の部門長等に報告する必要があります。

 

 

 

  1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

 

 

 

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

 

 

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。

ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈

 

_shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの戸沼です。

 

今回のブログでは、「ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈」について書かせていただきます。

 

内容としては、

大きく下記の3つの項目をご説明させていただきます。

 

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

2.ISO27001(ISMS):2013年版で明確にされたこと

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

~~~~~~~~~~~~~~~~~~~~~~~~

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

 

まずは、ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比からみていきましょう。

 

ISO27001(ISMS):2006年版における構成は下記の通りです。

4.3 文書化に関する要求事項

4.3.1 一般

4.3.2 文書管理

4.3.3 記録の管理

 

ISO27001(ISMS):2013年版における構成は下記の通りです。

7.5 文書化した情報

7.5.1 一般

7.5.2 作成及び更新

7.5.3 文書化した情報の管理

 

上記のように章の構成は変わっています。

2006年版では「文書」と「記録」という2つの要素を管理すべきと述べられているのに対して、

2013年版では「文書化した情報」という1つの要素にまとめられていることが分かります。

 

このような変更がなされた背景には、社会のIT化があります。

ひと昔前では「文書・記録=紙媒体」でしたが、

現代においては「文書・記録=デジタル媒体」であるところも少なくありません。

例えば、ある運送会社様では、

荷物の積み下ろしの際の手順書は注釈を入れた動画になっていました。

同時に、荷物の積み下ろしがルール通りにできているかのチェックも動画とiPadによるチェックリストをもとに行われていました。

このように、現代では紙媒体のみならず、

デジタル媒体(WordやExcelデータ、動画データ、音声データ)も文書化された手順にも記録にもなりえますし、

生体認証(指紋、声紋、虹彩、静脈等)による認識履歴も記録になりえますので、

これまでの「文書」と「記録」という表現が見直されてきました。

 

ISO27001(ISMS):2013年版の規格要求事項を読み進めていくと、

ISO27001(ISMS):2006年版において「文書」とされていた事項と同一の取扱いが求められるのが、

「文書化した情報として利用可能である」「~プロセスについての文書化した情報を保持」といった表記になっている箇所となります。

同様に、

ISO27001(ISMS):2006年版において「記録」とされていた事項と同一の取扱いが求められるのが、

「~の証拠として、文書化した情報を保持する」といった表記になっている箇所となります。

 

媒体や手段の違いはあれど、

大きな要素としては変わっていないことが分かります。

 

~~~~~~~~~~~~~~~~~~~~~~~~

2.ISO27001(ISMS):2013年版で明確にされたこと

 

次に、ISO27001(ISMS):2013年版で明確にされたことをみていきましょう。

 

ISO27001(ISMS):2006年版にはない表現として、下記のような記述があります。

・「適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)」

・「適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)」

・「配付,アクセス,検索及び利用」

 

一見して分かることは、

2013年版では、文書化した情報の管理として、デジタル管理も想定された規格要求が明確化されました。

 

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、

デジタルデータの管理方法が部ごと、個人ごと、保管ツールごとに異なり、

社内の標準的なルールが定まっていないということです。

この点に関しては、今後ますますデジタルデータが増えていくことを見据えて、

最適解を社内で一度協議してみるのがよさそうです。

 

~~~~~~~~~~~~~~~~~~~~~~~~

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

最後に、ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきことを考えていきます。

 

私たちコンサルタントは、

様々な業種・業態の組織様のお手伝いをさせていただく中で、

役得と言いますか、様々な形・手段の「文書化した情報の管理」を拝見させていただいております。

その中で感じることは、

デジタルデータの情報管理に関しては、紙媒体の情報管理と比較して、まだまだ改善の余地がある組織様が多いということです。

 

うまく取り決めていらっしゃる組織様ですと、

データフォルダの管理に関して、

部ごと、組織を横断するグループごと(取締役会、委員会活動等)にデータフォルダを設けて、

その中でも「極秘・上・中・下」のようなアクセス制限設定がなされているようです。

データ管理に関しても、

タイトル名を「(部署名)+(現場・顧客名)+(案件名)+(日付)」といった共通の仕様を決め、

それに基づいたデータ管理をしているようです。

 

上記のような点にフォーカスをあてて、

貴社の情報セキュリティマネジメントシステムにおける文書化した情報の管理が整っているか、

見てみてはいかがでしょうか。

ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈

COW121004713_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの鈴木と申します。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈」というテーマで書かせていただきます!

ISO27001(ISMS):2013年版なんて今さらだと感じる方はいると思いますが、今回ISO9001:2015(QMS)、ISO14001:2015(EMS)も2015年版が出て規格改定を始めている方も多いと思いますので、書かせていただきます!

ISO27001(ISMS):2013年版、ISO9001(QMS):2015年版、ISO14001(EMS):2015年版での要求事項の項番が統一されているので、少しは役に立つと思います。

 

まずはISO27001(ISMS):2005年版とISO27001(ISMS):2013年版の要求事項に書かれている部分を見てみましょう。

 

□ISO27001(ISMS):2005版

8 ISMS の改善

8.1 継続的改善

組織は,情報セキュリティの基本方針及び目的,監査結果,監視した事象の分析,是正及び予防の処置,並びにマネジメントレビューを利用して,ISMS の有効性を継続的に改善しなければならない。

8.2 是正処置

組織は,ISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにとらなければならない。是正処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 不適合の特定
  2. b) 不適合の原因の決定
  3. c) 不適合の再発防止を確実にするための処置の必要性の評価
  4. d) 必要な是正処置の決定及び実施
  5. e) とった処置の結果の記録(3.3 参照)
  6. f) とった是正処置のレビュー

8.3 予防処置

組織は,ISMS の要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は,起こり得る問題の影響に見合ったものでなければならない。予防処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 起こり得る不適合及びその原因の特定
  2. b) 不適合の発生を予防するための処置の必要性の評価
  3. c) 必要な予防処置の決定及び実施
  4. d) とった処置の結果の記録(3.3 参照)
  5. e) とった予防処置のレビュー

組織は,変化したリスクを特定し,大きく変化したリスクに注意を向けて,予防処置についての要求事項を特定しなければならない。

予防処置の優先順位は,リスクアセスメントの結果に基づいて決定しなければならない。

注記 不適合を予防するための処置は,多くの場合,是正処置よりも費用対効果が大きい。

 

 

□IS027001(ISMS):2013版

10 改善

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

  1. a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。

1) その不適合を管理し,修正するための処置をとる。

2) その不適合によって起こった結果に対処する。

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

1) その不適合をレビューする。

2) その不適合の原因を明確にする。

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

  1. c) 必要な処置を実施する。
  2. d) とった全ての是正処置の有効性をレビューする。
  3. e) 必要な場合には,ISMS の変更を行う。

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

  1. f) 不適合の性質及びとった処置
  2. g) 是正処置の結果

 

 

 

 

 

はい、それでは項番の解説をしていきます!!!

 

■解釈のポイント

要約すると、

・不適合が起きた場合は管理して修正するための処置をとり、不適合によっておこった結果に対処する。

・その不適合の再発防止のため、不適合をレビューし、原因を明確にし、似たようなケースがないか、又は想定されないかを明確にし、原因除去のための処置を取る必要があるのか、必要性を評価する。

・必要な処置を実施、その(不適合のもと影響も著しさに応じた)是正処置がいかに有効であったか、有効性をレビューし、それにより必要が発生した場合は、環境マネジメントシステムの変更も行う。

・不適合の性質及びそれに対してとった処置、是正処置の結果を文書化し、保持する

 

上記を実施すれば、この10.1項「不適合及び是正処置」の要求事項に関しては満たされます。

 

〇旧規格との違い

ISO27001(ISMS):2005年版には、修正するための処置はありませんでしたが、ISO27001(ISMS):2013年版の規格から修正するための処置の要求事項が追加されています。

また、逆になくなった点として、予防処置の要求事項がなくなりました。

 

 

今回はISO27001(ISMS):2013年版10.1項「不適合及び是正処置」規格解釈というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

 

また、ISO(アイエスオー)を新規取得したい、またはISO(アイエスオー)のための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

 

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

ISO27001:2013(ISMS):2013年度規格改訂 7項「支援」規格解釈

 

PASONA_41_TP_V

 

こんにちは!!

ISO総合研究所コンサルタントの堀田です!!

さて、今日はISO27001:2013(ISMS)の「7.支援」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

7 支援

7.1 資源

組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

 

7.2 力量

組織は、次の事項を行わなければならない。

a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。

b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。

c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。

d)力量の証拠として、適切な文書化した情報を保持する 。

注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

 

7.3 認識

組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。

a)情報セキュリティ方針

b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献

c)ISMS要求事項に適合しないことの意味

 

7.4 コミュニケーション

組織は、次の事項を含め、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。)

b)コミュニケーションの実施時期

c)コミュニケ一ションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

 

7.5 文書化した情報

7.5.1 一般

組織のISMSは、次の事項を含まなければならない。

  1. a) この規格が要求する文書化した情報
  2. b) ISMSの有効性のために必要であると組織が決定した、文書化した情報

注記 ISMSのための文書化した情報の程度は、次のような理由によって、それぞれの組織で異なる場合がある。

1)組織の規模、並びに活動、プロセス、製品及びサービスの種類

2)プロセス及びその相互作用の複雑さ

3)人々の力量

7.5.2 作成及び更新

文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。

a)適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)

b)適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)

c)適切性及び妥当性に関する、適切なレビュー及び承認

7.5.3 文書化した情報の管理

ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。

a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。

b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって、該当する場合には、必ず、次の行動に取り組まなければいけない。

c)配付、アクセス、検索及び利用

d)読みやすさが保たれることを含む、保管及び保存

e)変更の管理(例えば、版の管理)

f)保持及び廃棄

ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて、特定し、管理しなければならない。

注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧及び変更の許可及び権限に関する決定などを意味する

要求事項の分になると難しく感じてしまいますが

7章が求めていることはマネジメントシステムを支援する基本要素を言っています。

「7.1 資源」では、ISO27001:2013(ISMS)を運用、継続的改善をするときに必要な資源を決定し、提供しなければなりません。

簡単に言うと、お仕事をする上で、なくてはならないもの、当たり前のことを準備するように記載されています。

決してISMSに特化したものではありません。

「7.2 力量」では社内で定めた力量を持っているか確認します。力量という子駑馬は普段聞きなれない言葉ですよね。

用語の解釈では「意図した結果を達成するために、知識及び技能を適用する能力」

今まで従業員が受けてきた教育や訓練、経験などから本当にその力量を持っているかどうか確認します。

力量が不足していると判断した場合は、再教育など何らかの処置を講じる必要があります。

何らかの教育や処置を行った場合は記録の作成も忘れてはいけません。

 

「7.3 認識」では組織の管理下で働く人々は、a~cに関して知っていなければならないということです。

a~cの項目において組織下にいる人たちがどれだけ理解しているかは常日頃の代表や管理責任者がどれだけ頻繁に声かけしているかだと思います。
リーダーシップに期待です。

「7.4 コミュニケーション」では、外部とのコミュニケーションをとるために必要な事項を決めます。
5W1Hで考えるといいですね!
「7.5 文書化された情報」では文書化された情報を作成~承認、更新までの基本が書かれています。
文書化した情報は社内で展開した後、改廃を管理しなければいけません。
その責任は明確にしておかないといけませんね!
お客様先に訪問すると、旧版のマニュアルをまだ保管していたり、新しい手順書が共有されていなかったりするところをよく目にします。
紙で管理しているとこのような出来事が多いので、ぜひデータで管理し、あまり出力しない方法をお勧めします。

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO総合研究所にお問い合わせ下さい!

 

 

 

ISO27001:2013(ISMS):2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

 

PASONA160306530I9A1806_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」規格解釈

OZPAyatta_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの小嶋と申します。

 

今回は…

 

「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

 

では、はじめに6.2項の要求事項には何が書かれているのでしょうか?

「組織は、関係する組織の機能や階層で、情報セキュリティ目的を定めなければならない。

情報セキュリティ目的は、次の事を満たさなければならない。」

a) 情報セキュリティ方針と一致している

b) 測定可能である(但し、実行可能な場合)

c) 適用可能な情報セキュリティの要求事項、リスクアセスメント及びリスク対応の結果を考慮している

d) 適切に(必要に応じて)伝達する

e) 適切に(必要に応じて)更新する

組織は、情報セキュリティ目的を”文書化された情報”として保持しなければならない。

組織は、情報セキュリティ目的の達成方法を計画する際、次の事を決めなければならない。

f) 実施すべき事

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

概略としては

関連する部門及び階層において、情報セキュリティ目的を確立し、それらを達成するための計画を策定するという事です。

 

要求事項のポイントとしては

 ① a)~e)を満たす情報セキュリティにおいて達成するための目的を定める。

 ② f)~j)を満たす情報セキュリティ目的を達成するための実施計画を策定する。

 ③ これらの情報セキュリティ目的及びその達成に向けての活動及びその結果は、文書化した情報を保持する。

 

 

その他のポイント

 ① 情報セキュリティ方針と整合した情報セキュリティ目的を決定していること。

 ② 目的は達成度の判定が可能なこと。

 ③ 目的は、情報セキュリティ要求事項、リスクアセスメント、リスク対応結果を考慮し

ていること。

 ④ 関係者に伝達していること。

 ⑤ 事業環境の変化、組織形態の変更及び情報セキュリティインシデントの発生があった

場合は、見直し、更新していること。

⑥ 目的を達成するための計画を策定していること。

⑦ 計画には次の事項を含めていること。

実施事項、必要資源、責任者、達成期限、結果の評価方法

 

ここでの項でまず「目的」という言葉の意味を考えましょう。

【目的(objective)】とは達成すべき結果。

注記 1 目的は、戦略的、戦術的又は運用的である。

注記 2 目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。

注記 3 目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。

同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すことも

できる。

注記 4  情報セキュリティマネジメントシステム(ISMS)の場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。

 

という事です。

つまり、情報セキュリティの目的を達成する為に実施をする要項をまとめれば良いのです。

 

トップマネジメントのリーダシップの下、推進される計画です。組織の戦略に情報セキュリティを組み込み、方針展開させ、PDCAを完結する流れになります。

2章の「ISMSの目的がより鮮明に・・・②」の解説及び3章の「用語の解説3.08 目的」を参照し、リスクアプローチとの違いを理解してください。

情報セキュリティの目的は何をしたら良いのかという疑問が出てくるかと思います。

例を出してみましょう。

例えば、セキュリティ事故が起きないことは大前提の目的であると位置づけ、それを達成するプロセスを、具体的なToDoに落とし込むことです。例えば「セキュリティインシデントを3件以下」「事故ゼロを達成する為に、当社のセキュリティ弱点の強化につながる教育を計画して、全社員に対して実施する」等という感じで目的を作成すると考えやすくなるでしょう。

 

その後その目的に対するf) 実施すべき事 g) 必要な資源 h) 責任者 i) 達成期限

j) 結果の評価方法を盛り込んだような様式で管理をすることが望ましいでしょう。

 

 

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

 

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

 

話が長くなりました…

それでは、今回は「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

「ISO9001:2015(QMS):2015年度規格改訂 4.1項「組織及びその状況の理解」規格解釈:建設業の運用事例」

-shared-img-thumb-BL004-chiisanayoukyuu20140810_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの中本郁也です。

 

それでは、今回のテーマISO 9001(QMS):2015年度規格改訂4.1項「組織及びその状況の理解」規格解釈:建設業の運用事例についてご紹介致します。

ますは今回のJIS Q 9001:2015の4.1項「組織及びその状況の理解について該当する要求事項を見てみましょう。

────────────────────────

4 組織の状況

4.1 組織及びその状況の理解

組織は組織の目的及び戦略的な方向性に関連し、かつ、その品質マネジメントシステムの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を明確にしなければならない。

組織は、これらの外部及び内部の課題に関する情報を監視し、レビューしなければならない。

注記1 課題には、検討の対象となる、好ましい要因又は状態、及び好ましくない要因又は状態が含まれ得る。

注記2 外部の状況の理解は、国際、国内、地方又は地域を問わず、法令、技術、競争、市場、文化、社会及び経済の環境から生じる課題を検討する事によって容易になり得る。

注記3 内部の状況の理解は、組織の価値観、文化、知識及びパフォーマンスに関する課題を検討することによって容易になり得る。

────────────────────────

 

ここでの解説として、「経営環境や経営課題を踏まえた上で、品質マネジメントシステムを作って、運用してね」という内容になります。

外部及び内部の課題とは、「競合他社があんな商品を出した」、「現在、新しい機能がついた商品が流行っている」、「今後、補助金が付いた制度ができるそうだ」、「来年は多くのベテランが退職予定だ」、「工場の設備が老朽化している」、「営業社員が少なく、外部へのアピールが不足している」等、多くの大企業、中小企業含む企業全体が持つ外部、内部への課題についてのことです。

 

 

つまり、社内の経営者会議や、部課長会議の議題であがる話題であり、これらは経営計画や事業計画、実行計画の内容として盛り込まれている内容の1つでもあります。

なので特に新しいことをする必要がほとんどないんですね。

ほとんどの企業で既にやられていることの1つなのですから。

 

 

規格要求事項で記載されている‘決定’、‘監視’、‘レビュー’なんて言われると、台帳や記録をこしらえてそこに内外の課題を登録して定期的に見直しをしないといけないんだろうか??と思う方もいるかもしれません。

しかし、早まらないでくださいね。ここでの規格要求事項には文書化、記録化の要求はございません。普段の日常で考えられている外部・内部の課題を把握しておいてくださいねという内容がここでは記載されています。

 

 

では、建設業の運用を例に少し事例をご紹介したいと思います。

 

建設業(15名の施工管理に主を置く業者の事例)

 

外部環境の強み(組織にとって機会(チャンス)は何か)

国からの助成金の増加により社内教育が充実。

 

外部環境の弱み(組織にとっての脅威は何か)

国交省の仕事を中心に予定価格の低迷。

 

内部環境の強み(組織の強みは何か)

スキルアップ(資格、外部講習)。

 

内部環境の弱み(組織の弱みは何か)

慢性的な人材不足(特に若手社員不足、ベテラン社員の定年退職等)

 

建設業では、上記のような課題を上げることができる。

では、上記を把握してどのようにするのか?

上記では、現在の建設業における外部・内部の強みと課題を現状把握できた。

そこで次は戦略の確立だ。企業力を向上する有効な手段は、一つひとつの業務を効率化し、効果を最大化することである。そしてその業務改革をするために最適な意思決定を下すことである。ここでは、現状を把握した上で「結果に基づいて最適な行動まで結びつける力」である。

 

 

ISO9001:2015の4.1 組織及びその状況の理解で把握した自社の外部・内部の強みと課題を最適な行動に結びつけるようにしていく必要がある。

 

ステップ1 目的を明確にし、データ分析の指標を設定する。

ステップ2 データを収集し、加工する。

ステップ3 出てきた事実を基に現状の課題、原因を深く掘り下げて追及する。

ステップ4 課題・原因に対して、対策を実施する。

 

上記のようなステップをISOのマネジメントシステムで求めている。

自社の外部・内部の強みと課題を把握するだけでは何も変わらないというわけです。

強み、課題を把握した上で、どのようにPDCAを回して運用していくかが重要なんです。

 

今回のISOの規格改訂でより現実、実務に近い形でISOを運用できるようになると言われていますが、企業としてトップが自社の現状把握ができていることがまず一番の重要なこととなります。形骸しないような仕組みを作るというよりは、自社の経営活動をどのように促進していくか考えていくことがISOにつながるかもしれませんね。

 

本日はここまでです。又、次回のブログでお会いしましょう!!

 

 

 

ISO27001:2013(ISMS):2013年度規格改訂 8.2項「情報セキュリティリスクアセスメント」規格解釈

-shared-img-thumb-150415361974_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

前回のブログでは「ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈」というものをテーマに書かせていただきました。

今回は…

ISO27001(ISMS):2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈

というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

今回も、田口がブログでISO27001:2013年規格改訂8.2項「情報セキュリティリスクアセスメント」の部分の規格解釈という形で

やさ~しく、わかりやす~く、丁寧に! ご説明させていただきます。

ちなみに、ここ以降はISMS(アイエスエムエス)というものが出てきますが、ISO27001と同義です。

では、はじめに8.2項の要求事項には何が書かれているのでしょうか?

「組織は、あらかじめ定めた間隔で,又は重大な変更が提案されたか若しくは重大な変化が生じた場合に、6.1.2 a) で確立した基準を考慮して,情報セキュリティリスクアセスメントを実施しなければならない。

組織は、情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。」

途中で出てくる6.1.2 a)も後で見てみましょう。

最初は、情報セキュリティリスクアセスメントというものを簡単にして、文字から読み解いてみましょう。

・情報セキュリティ

情報セキュリティは、「情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態を維持すること。

さらに、ある資源等が本当に合っているかどうかを確実にすること、いつでもその作業の流れが追跡できること、ある活動が後になって違うということが起こらないように証明すること、

ある動作および結果に一致することのような特性を維持することを含めてもよい」

・リスク【risk】

危険。危険度。また、結果を予測できる度合い。予想通りにいかない可能性。

・アセスメント【assessment】

評価。査定。開発が環境に及ぼす影響の程度や範囲について,事前に予測・評価することなどにいう。

まとめると…

情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態が維持できるように前もって危険、結果を予測できる度合いを評価する。

ですね!!

情報セキュリティリスクアセスメントについてはわかりました。

次は6.1.2 a)の基準ですね。

6.1.2 a)は規格要求事項に何が書いてあるでしょう?

次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

1)は、リスクはあるのだけれども、今の現状では対応の必要がないだろうと判断する基準を設けること

2)は、リスクアセスメントを行う上で、どのような基準を作るのか?リスクの評価をするための基準はどんなものか?

こんなことが書いてあるんですね。

この基準を元に情報セキュリティのリスク評価を行っていきましょうということなんですね。

そして最後の部分です。これの結果を文書化しましょうということです。

さて、文書化というのはどういうことでしょう?

文字にする。文章にする。

というのが一般的だと思います。

実は、文書化というのは、文字、文章の他に、表、図、絵、写真なども当てはまります。

必ずしも、文字で文章を書かなければいけないというものではないのです!!

これはけっこう勘違いをされてしまう方が多いのです。

さて、これですべてのわからないような文言がわかりましたね。

最後にまとめてみましょう。

8.2項「情報セキュリティリスクアセスメント」

「会社やISMS認証の範囲中の組織は、定期的又は大きな変更が生じた場合に、リスクアセスメントを行う上でリスク評価をするための基準を考慮して、情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態が維持できるように前もって危険、結果を予測できる度合いの評価を実施しなければならない。

会社やISMS認証の範囲中の組織は、これらの結果を文章・表・図・絵などで記録を残さなければならない。」

ということになります。

どうでしょう?わかりましたか?

こういう規格解釈が本当にあなたの会社にとって必要なのかを考えるのも良いかもしれないですね。

しかし、解釈にかかる時間がもったいなくありませんか?

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていく!ということです。

話が長くなりました…

それでは、今回は「ISO27001(ISMS):2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

ISO27001:2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」規格解釈

20130321-P3210210_TP_V
今回のブログでは、
ISO27001:2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」の規格解釈について書かせていただきます。

内容としては、
大きく下記の3つの項目をご説明させていただきます。

 1.ISO27001:2006年版と、ISO27001:2013年版の対比
 2.ISO27001:2013年版で明確にされたこと
 3.ISO27001:2006年版から、ISO27001:2013年版に移行するにあたって確認すべきこと

~~~~~~~~~~~~~~~~~~~~~~~~
 1.ISO27001:2006年版と、ISO27001:2013年版の対比

 まずは、ISO27001:2006年版と、ISO27001:2013年版の対比からみていきましょう。

 ISO27001:2006年版における構成は下記の通りです。
 4 情報セキュリティマネジメントシステム
  4.1 一般要求事項

 ISO27001:2013年版における構成は下記の通りです。
 4.4 情報セキュリティマネジメントシステム

 上記のように、
章の構成は変わっていますが、
大きな要素としては変わっていないことが分かります。

~~~~~~~~~~~~~~~~~~~~~~~~
2.ISO27001:2013年版で明確にされたこと

次に、ISO27001:2013年版で明確にされたことをみていきましょう。

ISO27001:2006年版における4.1項「一般要求事項」の記述は下記の通りです。
「組織は、その組織の事業活動全般及び直面するリスクに対する考慮のもとで、文書化したISMS を確立、
導入、運用、監視、レビュー、維持及び改善しなければならない。」

ISO27001:2013年版における4.4項「情報セキュリティマネジメントシステム」の記述は下記の通りです。
「組織は、この規格の要求事項に従って、ISMS を確立し、実施し、維持し、かつ、継続的に改善しなけ
ればならない。」

一見して分かることは、2006年版では「その組織の事業活動全般及び直面するリスクに対する考慮のもとで」という表記がありましたが、2013年版では、これら考慮すべき事項が4.1項から4.3項にてより明確化されました。

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、この4.1項から4.3項をどう明確化するか、その方法を模索していらっしゃるところですね。組織によっては、SWOT分析をおこない、その結果報告をなさっているところもありますし、組織ごとの指標をもとに、定期的に報告をしている組織もあります。この点に関しては、経営層がどのような指標をもとに経営的なご判断をなされているのかを洗い出してみるのがよさそうです。

~~~~~~~~~~~~~~~~~~~~~~~~
3.ISO27001:2006年版から、ISO27001:2013年版に移行するにあたって確認すべきこと

最後に、ISO27001:2006年版から、ISO27001:2013年版に移行するにあたって確認すべきことを考えていきます。

私たちコンサルタントは、
様々な業種・業態の組織様のお手伝いをさせていただく中で、
役得と言いますか、様々な形・内容の「マネジメントレビュー」を拝見させていただいております。
その中で感じることは、
情報セキュリティマネジメントシステムに関連する外部及び内部の課題の変化 や、組織及びその状況の理解、利害関係者のニーズ及び期待の理解というのは、
「マネジメントレビュー」において、明確になっていることか多かったように思われます。

それから、これまでは、いわゆる「マネジメントレビュー」にて報告や指示がなされていた以外にも、
日常のコミュニケーション(例えば、経営会議、幹部会議、営業会議、等)にて、該当する項目の報告および指示がなされていないかを探してみてください。おそらくは、「マネジメントレビュー」という形を取らずしても、要求事項を満たすような定期的なイベントが実施されているのではないでしょうか。

忘れてはいけないのは、マネジメントレビューを実施した結果の、文書化された情報が保持されているかです。

上記のような点にフォーカスをあてて、
貴社の情報セキュリティマネジメントシステムが整っているか、見てみてはいかがでしょうか。

ISO27001:4.3項:情報セキュリティマネジメントシステムの適用範囲の決定

-shared-img-thumb-YOTA93_minogasanai15133536_TP_V

 

 

こんにちは。

ISO総研の栗林です。

 

Iso27001とは、国際的に定められた情報を守るための方式の基準の規格なのです。

そもそものisoが何かというと、これはInternational Organization for Standardization、

国際標準化機構と呼ばれるものの略で、世界各国、140カ国以上の国々が加盟している、

本拠地をジュネーブとする組織です。

この国際的な組織は、iso27001のほかにも、iso9001や環境マネジメントシステムと称されるiso14001など、様々な規格を創造し制定、認証している組織なのです。

 

iso27001は今やどの組織・どんな業種でも必要だ、とは言われてもどういうものなのか、

何をするればよいのか、よく分からないという方も多くいらっしゃるでしょう。

情報処理の発展が目まぐるしく起こった昨今では、情報処理サービス業だけに留まらず情報への安全対策は重要です。

組織が持つ様々な情報資産、監査証跡やデータファイル、手順書やシステムソフトウェア、

開発用ツールなどのソフトウェア資産、他、無形資産やサービス資産、物理的資産など、

これらのものを、影響度や様々なものを基準に、その危険性の度合いを評価します。

 

その後、その評価がリスクが高い、とされたものに、また様々な角度からセキュリティ万全となるよう、対策が講じられ、それを実行しちゃんと管理出来ていくようにするのです。

全くの危険性皆無、というところまで持っていくのには様々なコストなどもかかるため、

程よく組織に害が及ばなくさせる対策を生み出し、管理していくのがiso27001の目的です。

 

4.3

情報セキュリティマネジメントシステムの適用範囲の決定

 

組織は,ISMS の適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。

 

この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。

 

  1. a) 1 に規定する外部及び内部の課題
  2. b) 2 に規定する要求事項

c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係

 

ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない

 

 

【解説】

組織は,ISMSの適用範囲を定めるためにあたって,その境界と適用可能性を決定しなさい。

この適用範囲を決定するとき,組織は,次のことを考慮しなさい。

a) 4.1 に規定する外部及び内部の課題

b) 4.2 に規定する要求事項

c) 組織が実施する活動と他の組織が実施する活動との間の接点(インタフェース)及び依存関係。

つまり、自社と他社の責任分担や守備範囲、依存関係を明確にすることを意味している。

 

【解説】

ISMSの適用範囲は、文書にして確認できる状態にしなさい。

つまり、適用範囲を文書にして明確にしておきなさいという事。

 

 

では、もう一つ規格1項「適用範囲」についてご説明していきます。

 

この規格は、組織の状況の下で、ISMSを確立し、実施し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を、次に示す。

 

ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

 

ISO(アイエスオー)27001では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。

 

ISO(アイエスオー)は適用範囲を選ぶことができます。

例えば、20工場の拠点を持っている会社があり、各工場では違う製品、違う顧客、違った業務フローで業務が運営されています。そんな所で1つのルールを作って運用なんてできませんよね。

 

その為、ISO(アイエス―オー)では各拠点、各部署、各製品での認証が可能となります。

上記のように、適用する範囲に大きな違いがございます。

取得を検討している場合は、どちらの情報を多く会社が保持しているか、又は顧客が個人・法人どちらが多いか、どちらの認証を顧客から要求されているかにもよって変わってくるかと思います。

 

最近は、ISO(アイエスオー)9001とISO(アイエスオー)14001の2015年版への規格改正等大きな話題となっていますが、ISO(アイエスオー)27001は2年前の2013年に改正を行っている。

ISO(アイエスオー)27001の規格目次とISO(アイエスオー)9001、ISO(アイエスオー)14001の規格目次をみて頂ければ気づくかもしれないですが、大枠の流れは同じである。

その為、ISO(アイエスオー)9001、ISO(アイエスオー)14001、ISO(アイエスオー)27001の統合も今後はしやすいようになっていくかもしれませんね。