ISO9001(アイエスオー9001)2015年版に移行する際に気を付けること

max16011508_TP_V

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの久米です。

今回は

ISO9001(アイエスオー9001)2015年版に移行する際に気を付けることをお話しさせて頂きます。

 

まず、いつまでにISO9001(アイエスオー9001)2015年版へ移行しなければいけないかご存知でしょうか?

 

実はISO9001(アイエスオー9001)の規格が改訂されたから次の審査には即新しい内容で審査を受けなければいけないなんてことはないんです。ISO9001(アイエスオー9001)の改訂内容が広範囲で、仕組みの基本的改訂部分もある為、移行の審査は2018年9月に2008年版の有効期限が切れるまでに受ければ問題ありません。

 

ISO9001(アイエスオー9001):2015に移行するまで2年以上の猶予がある為、一度、社内のルールが有効かどうか見直ししてみることをオススメします。

 

ここからは各項番ごとにISO9001(アイエスオー9001)2008年版からの変更点や、注意することを書いていきたいと思います。

 

4 組織の状況

ISO9001(アイエスオー9001):2008の「1.2 適用」「4.1 一般要求事項」「4.2.2 品質マニュアル」が該当します。

 

ここの項番ではISO9001(アイエスオー9001):2008から変更する必要な部分は特にありません。ただし、ISO9001(アイエスオー9001):2008では適用除外とすることが出来たのが、7項のみであったが、ISO9001(アイエスオー9001):2015では限定する規定がなくなったため、審査の為に無理をしていた組織は実態に合わせて変更することができます。

 

5 リーダーシップ

ISO9001(アイエスオー9001):2008の「5.1 経営者のコミットメント」「5.2 顧客重視」「5.3 品質方針」「5.5.1 責任及び権限」「5.5.2 管理責任者」が該当します。

 

ここの項番でも基本的にはISO9001(アイエスオー9001):2008から何も変更する必要はありません。管理責任者という用語は用いられなくなりましたが、トップマネジメントに代わって品質マネジメントシステムを実施する責任者の任命が必要という意図は変わっていません。

 

6 計画

ISO9001(アイエスオー9001):2008の「8.5.3 予防処置」「5.4.1 品質目標」「5.4.2 品質マネジメントシステムの計画」が該当します。

 

ここでは「6.1 リスク及び機会への取組み」というISO9001(アイエスオー9001):2008にはなかった新たな要求事項があります。どの組織にも年度の収益の見通しがあると思います。これはあらゆる事態を想定して判断して立てられたものであるはずです。それを整理整頓し、何を実現するために何をするかを品質目標などにまとめて明確にするだけで要求事項を満たすことができます。

 

どれが「機会への取組み」でどれが「リスクへの取組み」なのか説明することができればISO9001(アイエスオー9001):2015へ移行するにあたって特に変更の必要はありません。

 

7 支援

ISO9001(アイエスオー9001):2008の「6.1 資源の提供」「6.3 インフラストラクチャー」「6.4 作業環境」「7.6 監視機器及び測定機器の管理」「6.2.2 力量、教育・訓練及び認識」「5.5.3 内部コミュニケーション」「4.2 文書化に関する要求事項」「4.2.3 文書管理」「4.2.4 記録の管理」が該当します。

 

この項番でも規格に記載されている文言の表現が変わっただけで基本的にISO9001(アイエスオー9001):2008から変更する部分はほとんどありません。

 

「7.1.6 組織の知識」はISO9001(アイエスオー9001):2015で新たに追加されているが、ISO9001(アイエスオー9001):2008の「6.2 人的資源」に明示はされていないが当然必要であった職務知識の充足管理が明示されただけのものです。

 

「7.4 コミュニケーション」はISO9001(アイエスオー9001):2008の「5.5.3 内部コミュニケーション」に外部との情報交換の実態を追加するだけで対応できます。

 

8 運用

ISO9001(アイエスオー9001):2008の「7.1 製品実現の計画」「7.2 顧客関連のプロセス」「7.3 設計開発」「7.4 購買」「7.5 製造及びサービス提供」「8.3 不適合製品の管理」「8.2.4 製品の監視及び測定」が該当します。

 

ここでもISO9001(アイエスオー9001):2008からマニュアルの記載を含め何も変更する必要はありません。ISO9001(アイエスオー9001):2015では要求事項の並びが変更されている為、変更されているものを並び替え、分割するだけで対応可能です。

 

「8.5.3 顧客又は外部提供者の所有物」では外部提供者の所有物が管理対象に加わりましたが、ISO9001(アイエスオー9001):2008の「7.5.4 顧客の所有物」と趣旨は同じものです。顧客から支給、又は貸与される資産などの管理が必要な外部提供者の所有物がない限り、マニュアルの記載等を変更する必要はありません。

 

9 パフォーマンス評価

ISO9001(アイエスオー9001):2008の「8.1 一般」「8.2 監視及び測定」「8.2.1 顧客満足」「8.4 データ分析」「8.2.2 内部監査」「5.6 マネジメントレビュー」が該当します。

 

ISO9001(アイエスオー9001):2015の規格で使用されている用語や表現が変更になっただけでISO9001(アイエスオー9001):2008から変更する必要がある要求事項はありません。

 

10 改善

ISO9001(アイエスオー9001):2008の「8.5.1 継続的改善」「8.3 不適合製品の管理」「8.5.2 是正処置」が該当します。

 

この項番でもISO9001(アイエスオー9001):2008の「8 測定、分析及び改善」をISO9001(アイエスオー9001):2015の9項と10項に分けて記載されているだけで基本的には変更の必要はありません。

 

マニュアルの記述をISO9001(アイエスオー9001):2015に合わせて書き変えるだけで対応可能です。

 

ISO9001(アイエスオー9001):2015へ改訂されたことで追加になった要求はありません。今まで自社で運用していたルールのみで対応することができるので、ISO9001(アイエスオー9001):2015のどこに当てはまるのかを洗い出しすることが大切だと思います。

 

長々とお話をさせて頂きましたが、いかがでしたでしょうか??

なんとなくでもわかって頂けましたでしょうか??

まだ、よくわからない!!

わかったけど本当はどうなの??

自社で改訂作業できるかな?と思った方は

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

・ISO9001(アイエスオー9001):2015取得を検討している。

・ISO9001(アイエスオー9001):2008を取得したけど、運用がうまくいかない。

・ISO9001(アイエスオー9001):2008を取得したけど、今後どうしたらいいのかがわからない。

・ISO9001(アイエスオー9001):2008の審査機関変えたいんだけど、どうしよう??

などなど、一人で、自社だけでどうすればいいのかお考えでしたら

弊社は、現在、約1,500社様以上のサポートをさせて頂いております。

豊富な実績で精一杯サポートさせていただきます。

ISO9001取得:~製造会社の場合~

_shared_img_thumb_MIMIYAKO85_gakedeosuwari20140727_TP_Vお世話になっております。ISO総合研究所のコンサルタントの鈴木です。
いつもご愛読ありがとうございます。

 

本日は「製造会社でISO9001を取得する場合」についてお話しさせていただきます。

 

まずは、どの業界・業種でもISO9001を取得するには

 

①要求事項で求められているルールを構築する

②実際に構築したルールで運用する

③審査会社による審査を受ける

 

上記3点の流れが必要になってきます。

ひとつずつ順を追ってお話ししていきましょう。

 

①要求事項で求められているルールを構築する

 

規格要求事項に対してのルール決めをしていきます。品質マニュアルやISO規程と呼ばれるものを作成する段階ですね。

下記がISO9001での適用規格であるJISQ9001:2008 の要求事項になります。

 

0.1 一般

0.2 プロセスアプローチ

0.3 JIS Q 9004 との関係

0.4 他のマネジメントシステムとの両立性

1 適用範囲

1.1 一般

1.2 適用

2 引用規格

3 用語及び定義

4 品質マネジメントシステム

4.1 一般要求事項

4.2 文書化に関する要求事項

5 経営者の責任

5.1 経営者のコミットメント

5.2 顧客重視

5.3 品質方針

5.4 計画

5.5 責任,権限及びコミュニケーション

5.6 マネジメントレビュー

6 資源の運用管理

6.1 資源の提供

6.2 人的資源

6.3 インフラストラクチャー

6.4 作業環境·

7 製品実現

7.1 製品実現の計画

7.2 顧客関連のプロセス

7.3 設計・開発

7.4 購買

7.5 製造及びサービス提供

7.6 監視機器及び測定機器の管理

8 測定,分析及び改善

8.1 一般

8.2 監視及び測定

8.3 不適合製品の管理

8.4 データの分析

8.5 改善

 

 

上記の要求事項だけ見ると、要求事項に基づいたルールを決めるのは面倒くさい、ISO9001は取得するのが大変だと思う方も多いかと思います。

しかし、ISO9001は当たり前といえば当たり前の企業活動をルール化したものなので、

要求事項の意図している内容が理解できれば「もうすでに会社でやっている」と思われることの方が遥かに多いです。ただその現状実施している内容を文書にするだけですね。

 

例えばですが、製造会社の 製品実現の1事例を上げさせていただきます。

 

受注のプロセス:お客様から使用者や図面をもらい打合せにて依頼を受ける。それを受けて見積書を発行する。

発注プロセス:見積書の結果契約が決まったら、必要な資材や材料の発注をかける。

製造プロセス:図面や仕様書を用い、社内にて予定表や工程表を作成し顧客要求通りに製品を製造する。

検査プロセス:出荷前の最終検査を実施してお客様に製品を納品する。

 

このような仕事の一覧の流れを、どのような記録を用いて実施していくのかを文章にしていくだけですね。

 

 

②実際に構築したルールで運用する

 

実際に品質マニュアルや規程が出来上がったら、その品質マニュアルルや規程に則って実際に仕事を進めていきます。これが運用と呼ばれるものです。

ただし、すでに実施している仕事の内容を基にルールを構築するものがほとんどなので、いままで通りの仕事を実施していくだけですね。一部ISO9001を取得するために新たに実施しなければならないことはあるかもしれませんが割愛させていただきますね。

 

もちろん日々の業務の流れや使用してきた記録、様式が変わることもあるかと思います。そうなると品質マニュアルや規程と実際の運用が異なってきてしまいます。そうなった場合は、品質マニュアルや規程を修正していけばいいのです。

特に内部監査時に品質マニュアルや規程類と実際の運用が異なっているか見ていけばいいですね。

 

 

③審査会社による審査を受ける

当たり前ですが、いくらマネジメントシステムを構築・運用しても審査を受けて合格(認証)をしないと、ISO9001認証取得!と掲げることができません。

実際にそのマニュアルや規程で運用した後に審査会社による審査を受けることになります。

日本だけでも約60社ほど審査会社があるといわれますが、それらの会社もISOの審査会社として認定を受けています。ISOの審査をしていいよと、厳しい審査を受けて通っているということです。また、審査会社によって審査費用は様々です。

 

ISO9001の初回の審査では2回審査を受けることになっています。

俗にいう1段階審査と2段階審査と呼ばれているものです。

1段階審査は会社が作成した品質マニュアルや規程が要求事項の内容を満たしているか、またはその仕組みが構築されているかをチェックしていきます。

その後2段階審査で、実際にその会社で作成した品質マニュアルや規程通りに運用ができているかをチェックしていきます。

特に審査にて問題がなければその後認証が完了となります。

 

 

大まかな流れになりますが上記①~③の流れでISO9001は取得できます。

 

 

ISO9001を取得したいが、ISOはまだ面倒くさいものだと思っている。

そんなことを考えている方がいらっしゃれば、ぜひお気軽に弊社までお問い合わせください。

弊社では、お客様の「ISOやPマーク(プライバシーマーク)における社内工数を限りなく0(ゼロ)に近づける」を

ミッションとし、ISO事務局としてサポートさせていただくことで、

現在1537社を超えるお客様をお手伝いさせていただいております。

 

ISO9001:2015 文書化した情報について

OZPAyatta_TP_V

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの松口と申します。

 

お盆休みも終わり、今年もあと残りわずかとなってきましたね。

1年って本当にあっという間ですね。

プライベートでは、息子が保育園にも慣れてくれて大号泣しなくなりました。

今ではちゃんとバイバイしてくれるようになり成長を感じております。

最近はアンパンマンやトーマスがマイブームのようで見つけると「これ、これ」と

指差してドヤ顔してきます笑

パパやママとも喋ってますが、まだ、たまにパパのことをママと言ったりおバカな息子ちゃんです笑

 

まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らさせて頂きたいと思います。

前回のブログでは「ISO9001:2015年度の概要」をご紹介させて頂きましたが、今回は「ISO9001:2015 文書化した情報について」をご紹介させて頂きます。

 

ISO9001(アイエスオー9001)が2015年に規格が改訂され、文書についての記載が変更になりました。

今までのISO9001:2008(アイエスオー9001:2008)では、文書類、文書化された手順、記録という記載となっておりました。文書化された手順(文書化要求)は6か所、記録(記録要求)は21か所の記載がされておりました。

ISO9001:2015(アイエスオー9001:2015)では、これらの表記がすべて文書化された情報と記載されるように変更となりました。では、すべて文書化された情報と記載されてしまっていて、文書と記録の判別はどのようにすればいいのかと疑問を持たれるかと思います。

そこで判別する方法をお教えいたします。

 

文書化された情報の維持と記載されているものは「文書」、文書化された情報の保持と記載されているものは「記録」と判別する方法がございます。

ISO9001:2015(アイエスオー9001:2015)では文書要求は5か所、記録要求は20か所となっております。

 

それでは具体的にどこの部分に文書化された情報の維持が記載されているか、文書化された情報の保持が記載されているかを説明させて頂きます。

 

 

まずは文書化された情報の維持に関しての5か所です。

①4.3 品質マネジメントシステムの適用範囲

c)組織の品質マネジメントシステムの適用範囲は、文書化した情報として利用可能な状態にし、維持しなければならない。

②4.4.2  品質マネジメントシステム及びそのプロセス

a)プロセスの運用を支援するための文書化した情報を維持する。

③5.2.2 品質方針の伝達

a)文書化した情報として利用可能な状態にされ、維持される。

④6.2.1 品質目標及びそれを達成するための計画策定

組織は、品質目標に関する文書化した情報を維持しなければならない。

⑤8.1 運用の計画及び管理

e)次の目的のために必要な程度の文書化した情報の明確化、維持及び保持

1)プロセスが計画通りに実施されたという確信をもつ

2)製品及びサービスの要求事項への適合を実証する

 

次に文書化された情報の保持に関しての20か所です。

①4.4.2 品質マネジメントシステム及びそのプロセス

b)プロセスが計画どおりに実施されたと確信するための文書化した情報を保持する。

②7.1.5.1 監視及び測定のための資源

組織は、監視及び測定のための資源が目的と合致している証拠として、適切な文書化した情報を保持しなければならない

③7.1.5.2 測定のトレーサビリティ

a)定められた間隔で又は使用前に、国際計量標準又は国家計量標準に対してトレーサブルである計量標準に照らして校正若しくは検証、又はそれらの両方を行う。そのような標準が存在しない場合には、校正又は検証に用いたよりどころを、文書化した情報として保持する。

④7.2 力量

d)力量の証拠として、適切な文書化した情報を保持する。

⑤8.1 運用の計画及び管理

e)次の目的のために必要な程度の文書化した情報の明確化、維持及び保持

1)プロセスが計画通りに実施されたという確信をもつ

2)製品及びサービスの要求事項への適合を実証する

⑥8.2.3.2 製品及びサービスに関する要求事項のレビュー

組織は、該当する場合には、必ず次の事項に関する文書化した情報を保持しなければならない。

 

⑦8.3.2  設計・開発の計画

j)設計・開発の要求事項を満たしていることを実証するために必要な文書化した情報

⑧8.3.3 設計・開発へのインプット

組織は、設計・開発へのインプットに関する文書化した情報を保持しなければならない。

⑨8.3.4 設計・開発の管理

f)これらの活動についての文書化した情報を保持する。

⑩8.3.5 設計・開発からのアウトプット

組織は、設計・開発のアウトプットについて、文書化した情報を保持しなければならない。

⑪8.3.6 設計・開発の変更

組織は、次の事項に関する文書化した情報を保持しなければならない。

⑫8.5.2 識別及びトレーサビリティ

トレーサビリティが要求事項となっている場合には、組織は、アウトプットについて一意の識別を管理し、トレーサビリティを可能とするために必要な文書化した情報を保持しなければならない。

⑬8.5.3 顧客又は外部提供者の所有物

顧客若しくは外部提供者の所有物を紛失若しくは損傷した場合、又はその他これらが使用に適さないと判明した場合には、組織は、その旨を顧客又は外部提供者に報告し、発生した事柄について文書化した情報を保持しなければならない。

⑭8.5.6 変更の管理

組織は、変更のレビューの結果、変更を正式に許可した人(又は人々)及びレビューから生じた必要な処置を記載した、文書化した情報を保持しなければならない。

⑮8.6 製品及びサービスのリリース

組織は、製品及びサービスのリリースについて文書化した情報を保持しなければならない。これには、次の事項を含まなければならない。

a)合否判定基準への適合の証拠

b)リリースを正式に許可した人(又は人々)に対するトレーサビリティ

⑯8.7.2 不適合なアウトプットの管理

組織は、次の事項を満たす文書化した情報を保持しなければならない。

a)不適合が記載されている。

b)とった処置が記載されている。

c)取得した特別採用が記載されている。

d)不適合に関する処置について決定する権限をもつ者を特定している。

⑰9.1.1 監視、測定、分析及び評価

組織は、品質マネジメントシステムのパフォーマンス及び有効性を評価しなければならない。組織は、この結果の証拠として、適切な文書化した情報を保持しなければならない。

⑱9.2.2 内部監査

f)監査プログラムの実施及び監査結果の証拠として、文書化した情報を保持する。

⑲9.3.3 マネジメントレビュー

組織は、マネジメントレビューの結果の証拠として、文書化した情報を保持しなければならない。

⑳10.2.2 不適合及び是正処置

組織は、次に示す事項の証拠として、文書化した情報を保持しなければならない。

a)不適合の性質及びそれに対してとったあらゆる処置

b)是正処置の結果

 

以上がISO9001:2015(アイエスオー9001:2015)における文書化した情報になります。

 

まだまだ他にも変更になったところはたくさんあります。

これから自社で規格改訂作業をやろうとお考えのみなさま、もう改訂作業に取り掛かっているけどなかなか改訂作業が進まないみなさま。ISO総合研究所を事務局として迎えて頂いて一緒に規格改訂作業を進めていきましょう。

 

もちろんこれからISO9001(アイエスオー9001)を新規取得しようとお考えの皆様も

お手伝いをさせて頂きますので、ISO総合研究所にご連絡を頂ければと思います。

ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈

 

OOK151013070I9A9870_TP_V

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

 

前回のブログでは「ISO27001:2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というものをテーマに書かせていただきました。

 

 

今回は…

 

 

「ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

 

 

今回も、田口がブログでISO9001:2015(アイエスオーキュウセンイチ:QMS)の新規格6.3項「変更の計画」の部分の規格解釈という形でやさーしく、わかりやすーく、丁寧に!説明させていただきます。

 

では、はじめに6.3項「変更の計画」の要求事項には何が書かれているのでしょうか?

 

「組織が品質マネジメントシステムの必要性を決定したとき、その変更は、計画的な方法で行わなければならない(4.4参照)。

組織は、次の事項を考慮しなければならない。

a)変更の目的、及びそれによって起こり得る結果

b)品質マネジメントシステムの“完全に整っている状態”

c)資源の利用可能性

d)責任及び権限の割り当て又は再割り当て」

 

なんか難しいことが書かれていますね…

そして、途中で出てくる4.4も後で見てみましょう。

 

a)は変更する目的と変更によって考えられる出来事を考えましょう。

b)変更してもマネジメントシステムがしっかりと機能している状態にして下さい。

c)何か原材料とか道具は必要になるのかどうか。

d)変更で何か役割とかが変えた方がいい場合は変更を行う。

 

要は、品質マネジメントシステム(QMS)を変更するときは変更で考えられる現象や出来事を考慮して変更をしてくださいねってことです!

例えば、内部監査のやり方を変えますという場合

今まで、内部監査員を育てるのにまずは講習をして、その後監査責任者がメンバーを選出して、メンバーがチェックリストを作成して、監査計画を作って、監査を行って、報告書を作ってまとめて、報告を行う…

いやいや、かなり面倒です。やり方を変えたいです!

 

となった場合に…

 

内部監査員は事務局メンバーにしておいて、チェックリストは作っておく。監査計画書と報告書の様式をまとめてしまう。そして、あとは報告するだけ!

流れはこれでいいので、じゃあ、あとは必要な道具の様式、“内部監査計画・結果“というものを作りましょう。

 

という流れをしっかりと計画立ててやってくださいねってことなのです!

 

また、4.4に書かれているというものは品質マネジメントシステム(QMS)及びプロセスです。

品質マネジメントシステム(QMS)をしっかりと確立して、維持して、改善してくださいということが書いてあります。

これを守って変更をして下さいねということなのです!

 

そして最後です。これの結果を文書化しなさいというようなことは何も書いてありません。

さて、文書化というのはどういうことでしょう??

 

文字にする。文章にする。

というのが一般的だと思います。

実は、文書化というのは、文字、文章の他に、表、図、絵、写真なども当てはまります。

必ずしも、文字で文章を書かなければいけないというものではないのです!!

これはけっこう勘違いをされてしまう方が多いのです。

 

これらの文書化をしなさいということは言われていないので、特に何かを残すということは必要ないのです。

 

さて、これですべてのわからないような文言がわかりましたね。

最後にまとめてみましょう。

 

6.3項「変更の計画」規格解釈

「a)は変更する目的と変更によって考えられる出来事を考えましょう。

b)変更してもマネジメントシステムがしっかりと機能している状態にして下さい。

c)何か原材料とか道具は必要になるのかどうか。

d)変更で何か役割とかが変えた方がいい場合は変更を行う。

これらを考慮して、さらに4.4項に書かれている品質マネジメントシステム(QMS)を守って変更をして下さいね」

 

ということになります。

どうでしょう?わかりましたか?

 

こういう規格解釈が本当にあなたの会社にとって必要なのかを考えるのも良いかもしれないですね。

しかし、解釈にかかる時間がもったいなくありませんか?

 

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

ISO総合研究所のミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

0ですよ!ゼロ!ゼロ!!ゼロ!!!

 

話が長くなりました…

それでは、今回は「ISO9001:2015(QMS):2015年度規格改訂 6.3項「変更の計画」規格解釈」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈

 

TSU863_kakigooriumai_TP_V

 

 

こんにちは、ISO総合研究所コンサルタントの藤川健太郎です。

最近はめっきり暖かくなり、エアコンを使う事が多くなってきたのではないでしょうか?

私はよくエアコンをつけ、お腹を出したまま寝てしまう事が多いので朝腹痛で起きる事が多くなってます。泣

 

そして不幸な事に生炙りレバーを食べた際にキレイに当たってしまい相乗効果な始末です。

トホホ…。

 

さて、私のお腹の事はどうでもよいとして今回はこちらです!

ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の規格改訂シリーズということで今回のテーマは「ISO9001:2015(QMS):2015年度規格改訂 6.1項「リスク及び機会に対応するための処置」規格解釈」

 

まず今回の規格改定においての特徴としてマネジメントシステム規格の整合化があります。

2012年以降に改定された規格については、整合化をはかるために構造が統一されることになりました。どの規格を見ても同じ項番にあるなどです。これをハイレベルストラクチャーと呼び、複数規格の認証取得をしている場合には、統合しやすくなっています。

 

 

6.1.1 ISO9001:2015(QMS)(アイエスオーキュウセンイチ)の計画に際して、4.1の課題及び4.2の要求事項を考慮し、次の事項への対応に必要なリスク及び機会を決定する。

1)QMSがその意図した結果を達成し得ることを保証する。

2)望ましい影響を向上させる

3)望ましくない影響を防止又は低減する

4)改善を達成する

 

6.1.2 リスク及び機会に対応するために、次に示す事項を含む計画を策定する。

1)リスク及び機会への対応の処置

2)これら処置のQMS(キューエムエス)プロセスへの統合及び実施の方法、並びに処置の有効性の評価の方法

リスク及び機会への対応の処置は、製品/サービスの適合性に対する潜在的影響に見合うものとする。

 

注記1

リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

注記2

機会は,新たな慣行の採用,新製品の発売,新市場の開拓,新たな顧客への取組み,パートナーシップの構築,新たな技術の使用,及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得る。

 

 

今回のISO9001:2015(アイエスオーキュウセンイチ:QMS)の規格改訂の一番の追加要求になります。リスク及び機会に対応するために処置をしろと要求しています。

ではリスクと機会とは何かというと、リスクは、不確かさの影響。リスクについてはイメージが沸きやすいかもしれません。

・製品の欠陥や社員の流動などの組織内部のリスク
・取引先の倒産や供給先の不祥事などの外部のリスク
・災害や景気の浮き沈みなどの社会のリスク

組織は常にさまざまなリスクにさらされています。

今回、リスクが要求事項に組み込まれたのも、これらのリスクによって顧客満足が満たせなくなるという事実を無視できなくなっているからです。

『リスク』とは『変化』のことです。
時代が変われば、これまでは問題なかったことも、大きなリスクになることがあります。

例えば、現在の社員の平均年齢を把握していますか?
現在は50歳だとしたら、このまま何もしなければ20年後には誰もいなくなります。
もちろん、20年の間に新しいスタッフが入ったりするでしょう。
しかし、今までのように雇用できるでしょうか?

これも変化の一つです。

 

一方、『機会』とは何でしょうか。
組織は真面目に製品を作って売り、内的外的にも取り立てて大きな問題はない、つまり表だったリスクはないとします。

それでも時代は変動し、顧客の望むものは刻々と変化していきます。
その時代のニーズに気付かずに顧客の『望まないもの』を提供するのは大きな機会の損失となります。

『機会』は『リスク』のように表面に表れにくいので、つい見過ごしがちです。
改正版の要求事項では、機会についても何らかの対処をすることを求めています。

そもそも、製品には「顧客が望むもの」と「顧客が望まないもの」の二つがあります。
マネジメントとは、顧客が「望むもの」と「望まないもの」を区別して、「望まないもの」を排除し、「望むもの」を適切なタイミングで提供することで顧客満足を高めていこうというものです。

望まないものを提供してしまうことが「リスク」の一部だと考え、望むものを提供することが「機会」の一部と考えるべきだと思います。

 

この二つに対応する処置を決めた計画を立てておけと要求しています。

よく見ると、文書化した情報の記載がないので、ここに文書・記録の要求はないので、審査レベルで言えば、リスク機会の対応する処置の計画は、口頭で話せればよいということです。

またこの情報が求められている要求項番としては9.3.2のマネジメントレビューのインプットです。組織の代表者への報告事項として求められており、ここで文書化した情報の保持が求められるので事実上、マネジメントレビュー記録に記載が残る形になります。

 

現在、規格改訂セミナーや実際に改定作業を行っている方もいるでしょう。

是非、ISO総合研究所のコンサルタントにご相談ください。

ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」規格解釈

 

TSUCH160130540I9A6568_TP_V

 

 

いつもお世話になっております。

ISO総合研究所コンサルタントの濱田章弘(はまだあきひろ)と申します。

 

さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、今回のテーマは、

『ISO9001:2015(QMS):2015年度規格改訂 5.1項「リーダーシップ及びコミットメント」』について規格解釈をさせていただきたいと思います。

まずは第1章で規格が何を求めているかについて確認してみましょう。

 

■第1章

『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』概要

 

規格改訂後の5.1項「リーダーシップ及びコミットメント」では、

5.1.1一般と5.1.2顧客重視の2パートに分けることが出来ます。

まずは5.1.1一般、その後5.1.2顧客重視を見ていきます。

 

5.1.1 一般

トップマネジメントは、次に示す事項によって、品質マネジメントシステムに関するリーダーシップ及びコミットメントを実証しなければならない。

 

a)品質マネジメントシステムの有効性に説明責任(accountability)を負う。

 

b)品質マネジメントシステムに関する品質方針及び品質目標を確立し、それらが組織の状況及び戦略的な方向性と両立することを確実にする。

 

c)組織の事業プロセスへの品質マネジメントシステム要求事項の統合を確実にする。

 

d)プロセスアプローチ及びリスクに基づく考え方の利用を促進する。

 

e)品質マネジメントシステムに必要な資源が利用可能であることを確実にする。

 

f)有効な品質マネジメント及び品質マネジメントシステム要求事項への適合の重要性を伝達する。

 

g)品質マネジメントシステムがその意図した結果を達成することを確実にする。

 

h)品質マネジメントシステムの有効性を寄与するよう人々を積極的に参加させ、指揮し、支援する。

 

i)改善を促進する。

 

j)その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。

 

※注記 この国際規格で“事業”という場合、それは、組織が公的か私的化、営利か非営利かを問わず、組織の存在の目的の中核となる活動という広義の意味で解釈され得る。

 

5.1.2 顧客重視

トップマネジメントは、次の事項を確実にすることによって、顧客重視に関わるリーダーシップ及びコミットメントを実証しなければならない。

 

a)顧客要求事項及び適用される法令・規制要求事項を明確にし、理解し、一貫してそれを満たしている。

 

b)製品及びサービスの適合並びに顧客満足を向上させる能力に影響を与え得る、リスク及び機会を決定し、取り組んでいる。

 

c)顧客満足向上の重視が維持されている。

 

■第2章

『ISO9001:2015(QMS) 5.1項「リーダーシップ及びコミットメント」』についての規格解釈

 

トップマネジメントは、組織がISO9001規格の規定する要件に従って品質経営体制を確立し、それに則って業務実行を指揮、管理し、また、時代の変化に対応して経営戦略としての品質方針及び組織の品質目標(5.2項)を見直し変更し、必要な顧客満足の状態を継続的に実現、維持することに、トップマネジメントとしての統率力を発揮しなければならず、職を賭して取り組まなければならない。

 

トップマネジメントは、そのような役割と責任を遂行する証として、a)~k)を効果的に実行しなければならない。

a)は、コミットメントに関し、他はリーダーシップに関する。また、b)、c)、e)、f)、j)項は、トップマネジメントが直接的責任を負うべき分野を指し、d)、g)、h)、i)項はトップマネジメントが統率力を発揮すべき重要分野を指す。

 

a)は、トップマネジメントが職責を全うしなければならないということであり、08年版の「品質経営体制の有効性の継続的改善にコミットメントする」の規定条文の用語を変えた書き直しである。

 

b)は、組織の存続発展を図る組織の経営活動の枠組みの中で品質経営の活動行うということであり、c)は、規格の規定により新たな品質経営体制を構築するのでなく、規定は組織の既存の品質と顧客対応に関係する業務の手はずに反映させること、或いは、規格の規定を満たして整えた手はずの通りに組織の経営管理の実務が行なわれているという意味である。b),c)を合わせて規格の規定に従って品質経営体制を確立し、その下で品質経営を行う (4.4項)という規格導入の基本条件を満たす最終責任がトップマネジメントにあることを示している。

 

d), h), i)は、規格の序文と規定と「品質経営の原理」として規定されている、品質経営の業務の実行に係わる規格の論理である。また、j)は、管理者や監督者が委ねられた職責を積極的に果たすことを促す組織風土、作業環境を創造するというトップマネジメントの責任を指す。

 

■第3章

予想される極端な審査要求

①品質マネジメントシステムと事業との統合の証拠

②トップマネジメントの責任に関するトップマネジメントへの質問

 

規格改訂の目的で一番大きいものは、マネジメントシステムと事業との統合化、また項番5にリーダーシップが導入されてお分かりの通り代表者の責任の割合が強くなったことであることは明白です。

 

いわゆる実態に沿ったルールになっているか、代表者がマネジメントシステムにしっかり関わっているのかです。

ポイントを押えておけば規格改訂も全然怖くありません。

 

手前味噌ですが弊社でもありがたいことに、規格改訂の書籍

【これ1冊でできる・わかる これ1冊でできるわかる ISO9001―やるべきこと、気をつけること  古江 一樹【監修】/ISO総合研究所【著】】

を出版させていただきました。

ご興味がございましたら書店にてお買い求めくださいませ。

 

また、もし御社がISO9001:2015(QMS)、ISO14001:2015(EMS)、ISO27001:2015(ISMS)、プライバシーマーク(Pマーク)の取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

 

ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈

 

MAX85_searchsa20140531_TP_V

 

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの松口と申します。

 

梅雨の季節がやってきましたね。私は1年の中で一番嫌いな時期です。

早く夏が来ないかなと思っている今日この頃です。

夏といったら、海、バーベキュー、お祭り、花火と楽しみがいっぱいです。

プライベートでは、息子がどんどん成長しており、最近ではパパとかママとか話すようになってきました。

息子の最近のマイブームはトーマスです。トーマスの本を買ってあげたら離しません。

息子にトーマスの本を買ってあげるためにお仕事頑張ります。息子を溺愛している私です。

 

まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らせて頂きたいと思います。

前回のブログでは「ISO9001:2015(QMS):2015年度の概要」をご紹介させて頂きましたが、

今回は「ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈」をご紹介させて頂きます。

 

まずはJIS Q 27001:2014の要求事項を見てみましょう。

下記に記載していきます。JIS Q 27001:2014に記載されている要求事項はよくわからないことが書いてあり解釈するのに苦労するかと思います。

が、下記に概要を簡単に書かせて頂きますのでご興味があればお読みください。

 

6 計画

6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMS(ISO27001:2013)の計画を策定するとき,組織は,4.1 に規定する課題及び4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。

  1. a) ISMS(ISO27001:2013)が,その意図した成果を達成できることを確実にする。
  2. b) 望ましくない影響を防止又は低減する。
  3. c) 継続的改善を達成する。

 

組織は,次の事項を計画しなければならない。

  1. d) 上記によって決定したリスク及び機会に対処する活動
  2. e) 次の事項を行う方法

1) その活動のISMSプロセスへの統合及び実施

2) その活動の有効性の評価

 

これらの要求事項のポイントとしては、ISMS(ISO27001:2013)の計画において、情報セキュリティに関連するリスクだけでなく、マネジメントシステムのリスクを含めた全体のリスクを対象としていることです。特に4.1の「組織及びその状況の理解」より決定した課題から、必要があるリスクを決定しましょうとのことです。

リスク及び機会に対処する活動には、ISMS(ISO27001:2013)の全体の活動、目的の達成のための計画、リスク対応計画などがあります。

この辺を頭の片隅に入れて考えて見るとわかりやすいかもしれません。

 

6.1.2 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。

c) 次によって情報セキュリティリスクを特定する。

1) ISMS(ISO27001:2013)の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。

2) これらのリスク所有者を特定する。

d) 次によって情報セキュリティリスクを分析する。

1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。

2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。

3) リスクレベルを決定する。

e) 次によって情報セキュリティリスクを評価する。

1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。

2) リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

それでは今度はこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティのリスクアセスメントの手順を定めて実施することです。

情報の「機密性」「完全性」及び「可用性」の喪失に伴うリスクの影響を考慮し、組織として認識する情報セキュリティを特定する必要があります。リスク分析することにより、情報資産におけるリスクレベルを洗い出し、実際に生じた場合に

起こり得る結果、現実的な起こりやすさについてアセスメントを行う必要があります。

その結果、リスク対応計画に反映していくことになります。

 

6.1.3 情報セキュリティリスク対応

組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。

a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。

b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。

d) 次を含む適用宣言書を作成する。

- 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由

- それらの管理策を実施しているか否か

- 附属書A に規定する管理策を除外した理由

e) 情報セキュリティリスク対応計画を策定する。

f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

 

それでは続きましてこちらの要求事項のポイントを見てみましょう。

まずはa)~f)の項目を満たす情報セキュリティ対応の手順を定めて実施することです。

リスク対応のために必要な管理策を決定し、附属書Aに記載されている管理策と比べ、必要な管理策の見落としがないかを確認します。そして適用宣言書の作成をします。その際に管理策の採否及びその理由は記載するようにしましょう。

 

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。

情報セキュリティ目的は,次の事項を満たさなければならない。

a) 情報セキュリティ方針と整合している。

b) (実行可能な場合)測定可能である。

c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。

d) 伝達する。

e) 必要に応じて,更新する。

組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。

組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。

f) 実施事項

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

それでは最後にこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティにおいて達成する目的を定めて実施することです。

次にf)~j)の項目を満たす情報セキュリティ目的を達成するための実施計画を策定します。

 

自社の運用でお悩み等がございましたら、是非一度ISO総合研究所にお問い合わせください。コンサルタントがご訪問させて頂きアドバイスをさせて頂きます。

ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

_shared_img_thumb_PAK77_sumahodetel20140823111801_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの千葉です。

世の中クールビズのスタートも早くなりましたね。

5月は暑かったり涼しかったり、と着る服にも困ることが多かったですね。

しかし、そろそろ梅雨入りも目前になり、暑い日が続くようになりましたね。

これからはじめじめした空気との戦いになりますね。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈」についてお話をしたいと思います。

現在、ISO27001:2013(ISMS)だけでなく、ISO9001:2015(QMS)、ISO14001:2015(EMS)も規格改訂により3つの規格が10章立てで構成されることになりました。

複数規格をお持ちの企業様にとっては、統合した仕組みを作りやすくなったのではないでしょうか。

 

 

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

 

 

章立てがかわったこともあり、少し考えてしまうかもしれません。ただ、旧規格から比べて、条文の言葉や項目の並びなどは変わりましたが、大枠の考え方などを全く別の方向に向ける必要はないように思います。

大きな部分では、起こった不適合に対して対応(処置)する。次にその原因を追究する。そして再度起こらないような処置を行う。

この大きな流れは変わりません。

ただし、なにも変わらないのであればそもそも言葉を変える必要がありません。大きな部分で変わらなくても細部では変更があるということを頭の片隅に置いていただくと良いと思います。

 

すこし具体に見ていきます。

 

まず、

 

1) その不適合を管理し,修正するための処置をとる。

 

発生した不適合について、きちんと把握する、コントロールできる状況に置くということです。そして、その状態から対応をしていきましょうということ。

 

2) その不適合によって起こった結果に対処する。

 

その不適合が発生し、どのような事態になったのか。その起きた事象に対応しましょうということ。

 

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

 

この項目から原因をつぶしていく対応が始まります。

 

1) その不適合をレビューする。

 

起こってしまった不適合について、評価を実施します。

2) その不適合の原因を明確にする。

 

言葉のままです。原因がどこに起因するのかきちんと確認します。

 

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

 

ここが抜けていることが多く見られますので、注意が必要なところです。以前の規格ではあまり触れられていませんでした。

ここでは、過去に起こった不適合の内容と照らし合わせ、似ているケースや同様のケースも確認する必要があります。

 

ここまで出来ると、ここからは実際の行動に変わっていきます。

 

  1. c) 必要な処置を実施する。

 

起こってしまった不適合について、a)項、b)項で認識した内容を元に、その原因を取り除くための処置を行います。

今までで言う「再発防止」になります。

 

  1. d) とった全ての是正処置の有効性をレビューする。

 

a)~c)項にて行った不適合に対する是正処置について、問題ないかレビューを行います。

レビュー=評価 とお考えください。

また、ISOの中では「有効性」という言葉が出てきます。

ここでは、「不適合に対する是正処置が有効に機能しているか」という視点で考えてみてください。

同じような問題が発生しないようであれば、有効であると考えられるでしょう。

 

  1. e) 必要な場合には,ISMS の変更を行う。

 

是正処置を行うと同時に、ISO27001:2013(ISMS)の仕組みに対する変更が必要ないかどうか、確認を行ってください。変更が必要な場合は忘れずに変更を行いましょう。

 

 

また、ISO27001:2013(ISMS)の要求事項では以下の文言があります。

 

————————————————————–

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

————————————————————–

つまり、是正処置と不適合に関しては、連動していなければおかしい、という話になりますね。

また、ISO27001:2013(ISMS)の要求事項にあるとおり、「文書化した情報を保持」しなければならないことになっています。

簡単に言うと、「記録に残す」という形です。

後から自社の取り組みを振り替えられるような取り組みをISOの中でも求められている、ということがわかりますね。

 

  1. f) 不適合の性質及びとった処置

不適合の内容とその際の処置は、今後の是正処置やリスク管理のためにも記録に残すことが求められています。

 

  1. g) 是正処置の結果

社内で行った是正処置に対しても、あとから社内で振り返るためにも記録に残していくことが求められています。

 

改善事項として考えた場合にも、是正処置の対応を社内で手順を残した上で記録に残す必要があることがわかりますね。

 

では、次に「継続的改善」について考えてみましょう。

規格要求事項では以下のように書かれています。

 

—————————————————————

10.2 継続的改善

組織は,ISMS の適切性,妥当性及び有効性を継続的に改善しなければならない。

—————————————————————

 

つまり、ISO27001:2013(ISMS)では、ただ仕組みを構築することが目的でなく、それをいかに活用できるか、がポイントになりますね。

おそらく、関わっている方は社内の改善に対しても意識出来ているのではないでしょうか。

 

今後も、是非規格要求事項とISO27001:2013(ISMS)について考えてみてください。

ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈

 

max16011508_TP_V

 

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの田牧です。

 

5月の連休を過ぎ、まだもう少し春を満喫したい!!

そんなことを思っていましたが、地球の温暖化なのか、夏まっしぐらな日々か続き、体調は崩されていませんでしょうか。

私事ではありますが、先日、子どもの運動会に参加してきました。

私の子供のころには、運動会と言えば「秋」の10月頃だったと記憶していますが、最近はこれくらいの時期に開催される学校も多いようですね。

元々は、夏の暑い時期に運動会の準備・練習・本番を迎えることでの参加者への負担を考慮したものだと聞いていますが、あまり変わらなくなってきました。

今週末にももう一度運動会があり、熱中症対策をしなければと、頭を悩ましています。

 

と、近況報告はこれくらいに、今回のテーマは『ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」について』です。

 

まずは、規格を確認して見ましょう。

 

JIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)では

8.1 運用の計画及び管理

組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2 項で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。

組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。

組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。

 

また、ここに出てきた6.1項及び6.2項も確認しておきます。

と思いましたが、かなりの長文となるのでどういった項番だったかというと

 

6.1 リスク及び機会に対処する活動

6.1.1 一般

6.1.2 情報セキュリティリスクアセスメント

6.1.3 情報セキュリティリスク対応

6.2 情報セキュリティ目的及びそれを達成するための計画策定

 

ということでした。やっぱり分かりづらいですね。

ですので、少しずつ紐解いていきましょう。まずは最初の一文です。

「組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。」

から見ていきましょう。

ここで求め求められているのは

情報セキュリティ要求事項を満たすために、項番6.1(=リスク及び機会に対する活動)で決定したことを計画して、実施し、管理すること。つまり、項番6.1では情報セキュリティリスクを認識し洗い出し、セキュリティ活動=目的(目標)を『計画』しましたが、今回はその『計画』を『実行』することが求められています。

よく言われるPDCAサイクルにおけるD=Doの部分が求められていることが読み取れます。

 

そして次に

「組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。」

『実行』されることが計画的にまた確実に行われるように、わかりやすく、明確なかたち、ここでは「文書化」と表現されていますが、記録を残すことが求められています。

 

そして

「組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。」

『実行』の内容については管理することで、その管理の中で変更があれば、見直し、修正、また必要な対応を求めています。

 

最後に

「組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。」

外部委託するものがあれば、そのプロセスを明確に、そのことを管理することを求められています。(このことは付属書AのA.15供給者関係に関連する部分ですので、今回は細かく触れませんが・・・)

改めで、簡単にこのJIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)8.1 運用の計画及び管理についてまとめますと

6章にて目的(目標)の達成と課題解決のための計画(Plan)を実行(Do)することが求められ、その管理についての要求事項について記載があるということになります。

 

自分で記載していても、この辺りはわかりにくいと感じますね。(無理にそうしているのではありません。恐らく私の文才がただただないのだと思うのですが。

 

ということでISO27001:2013(ISMS)のご取得をご検討中で、本ブログを読まれ、少しでも「?」と思われるようなことがあれば、お気軽に弊社、ISO総合研究所までご連絡ください!!

ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの残田です。

 

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

」について書いていきたいと思います。

 

 

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

 

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) ISMS に関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

組織は,次に示す事項を行わなければならない。

  1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  2. d) 各監査について,監査基準及び監査範囲を明確にする。
  3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. f) 監査の結果を関連する管理層に報告することを確実にする。
  5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

 

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

 

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 組織は,次に示す事項を行わなければならない。

  1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
  2. b) 各監査について,監査基準及び監査範囲を定める。
  3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  4. d) 監査の結果を関連する管理層に報告することを確実にする。
  5. e) 遅滞なく,適切な修正を行い,是正処置をとる。
  6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

 

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

組織は,次の事項を行わなければならない。

  1. a) 各監査について,監査基準及び監査範囲を明確にする。
  2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  3. c) 監査の結果を関連する管理層に報告することを確実にする。

組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

 

 

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

ここからは内容を細かく見ていきたいと思います。

 

>a) 次の事項に適合している。

>1) ISMS に関して,組織自体が規定した要求事項

>2) この規格の要求事項

→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

 

 

 

>b) 有効に実施され,維持されている。

→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

 

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

 

 

 

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

 

 

 

  1. d) 各監査について,監査基準及び監査範囲を明確にする。

→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

 

 

 

  1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

→自分がしている仕事内容を監査することができません。

 

 

 

  1. f) 監査の結果を関連する管理層に報告することを確実にする。

→監査結果を関連部署の部門長等に報告する必要があります。

 

 

 

  1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

 

 

 

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

 

 

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。