ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈

 

MAX85_searchsa20140531_TP_V

 

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの松口と申します。

 

梅雨の季節がやってきましたね。私は1年の中で一番嫌いな時期です。

早く夏が来ないかなと思っている今日この頃です。

夏といったら、海、バーベキュー、お祭り、花火と楽しみがいっぱいです。

プライベートでは、息子がどんどん成長しており、最近ではパパとかママとか話すようになってきました。

息子の最近のマイブームはトーマスです。トーマスの本を買ってあげたら離しません。

息子にトーマスの本を買ってあげるためにお仕事頑張ります。息子を溺愛している私です。

 

まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らせて頂きたいと思います。

前回のブログでは「ISO9001:2015(QMS):2015年度の概要」をご紹介させて頂きましたが、

今回は「ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈」をご紹介させて頂きます。

 

まずはJIS Q 27001:2014の要求事項を見てみましょう。

下記に記載していきます。JIS Q 27001:2014に記載されている要求事項はよくわからないことが書いてあり解釈するのに苦労するかと思います。

が、下記に概要を簡単に書かせて頂きますのでご興味があればお読みください。

 

6 計画

6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMS(ISO27001:2013)の計画を策定するとき,組織は,4.1 に規定する課題及び4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。

  1. a) ISMS(ISO27001:2013)が,その意図した成果を達成できることを確実にする。
  2. b) 望ましくない影響を防止又は低減する。
  3. c) 継続的改善を達成する。

 

組織は,次の事項を計画しなければならない。

  1. d) 上記によって決定したリスク及び機会に対処する活動
  2. e) 次の事項を行う方法

1) その活動のISMSプロセスへの統合及び実施

2) その活動の有効性の評価

 

これらの要求事項のポイントとしては、ISMS(ISO27001:2013)の計画において、情報セキュリティに関連するリスクだけでなく、マネジメントシステムのリスクを含めた全体のリスクを対象としていることです。特に4.1の「組織及びその状況の理解」より決定した課題から、必要があるリスクを決定しましょうとのことです。

リスク及び機会に対処する活動には、ISMS(ISO27001:2013)の全体の活動、目的の達成のための計画、リスク対応計画などがあります。

この辺を頭の片隅に入れて考えて見るとわかりやすいかもしれません。

 

6.1.2 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。

c) 次によって情報セキュリティリスクを特定する。

1) ISMS(ISO27001:2013)の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。

2) これらのリスク所有者を特定する。

d) 次によって情報セキュリティリスクを分析する。

1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。

2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。

3) リスクレベルを決定する。

e) 次によって情報セキュリティリスクを評価する。

1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。

2) リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

それでは今度はこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティのリスクアセスメントの手順を定めて実施することです。

情報の「機密性」「完全性」及び「可用性」の喪失に伴うリスクの影響を考慮し、組織として認識する情報セキュリティを特定する必要があります。リスク分析することにより、情報資産におけるリスクレベルを洗い出し、実際に生じた場合に

起こり得る結果、現実的な起こりやすさについてアセスメントを行う必要があります。

その結果、リスク対応計画に反映していくことになります。

 

6.1.3 情報セキュリティリスク対応

組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。

a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。

b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。

d) 次を含む適用宣言書を作成する。

- 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由

- それらの管理策を実施しているか否か

- 附属書A に規定する管理策を除外した理由

e) 情報セキュリティリスク対応計画を策定する。

f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

 

それでは続きましてこちらの要求事項のポイントを見てみましょう。

まずはa)~f)の項目を満たす情報セキュリティ対応の手順を定めて実施することです。

リスク対応のために必要な管理策を決定し、附属書Aに記載されている管理策と比べ、必要な管理策の見落としがないかを確認します。そして適用宣言書の作成をします。その際に管理策の採否及びその理由は記載するようにしましょう。

 

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。

情報セキュリティ目的は,次の事項を満たさなければならない。

a) 情報セキュリティ方針と整合している。

b) (実行可能な場合)測定可能である。

c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。

d) 伝達する。

e) 必要に応じて,更新する。

組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。

組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。

f) 実施事項

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

それでは最後にこちらの要求事項のポイントを見てみましょう。

まずはa)~e)の項目を満たす情報セキュリティにおいて達成する目的を定めて実施することです。

次にf)~j)の項目を満たす情報セキュリティ目的を達成するための実施計画を策定します。

 

自社の運用でお悩み等がございましたら、是非一度ISO総合研究所にお問い合わせください。コンサルタントがご訪問させて頂きアドバイスをさせて頂きます。

ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈

_shared_img_thumb_PAK77_sumahodetel20140823111801_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの千葉です。

世の中クールビズのスタートも早くなりましたね。

5月は暑かったり涼しかったり、と着る服にも困ることが多かったですね。

しかし、そろそろ梅雨入りも目前になり、暑い日が続くようになりましたね。

これからはじめじめした空気との戦いになりますね。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10項「改善」規格解釈」についてお話をしたいと思います。

現在、ISO27001:2013(ISMS)だけでなく、ISO9001:2015(QMS)、ISO14001:2015(EMS)も規格改訂により3つの規格が10章立てで構成されることになりました。

複数規格をお持ちの企業様にとっては、統合した仕組みを作りやすくなったのではないでしょうか。

 

 

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

 

 

章立てがかわったこともあり、少し考えてしまうかもしれません。ただ、旧規格から比べて、条文の言葉や項目の並びなどは変わりましたが、大枠の考え方などを全く別の方向に向ける必要はないように思います。

大きな部分では、起こった不適合に対して対応(処置)する。次にその原因を追究する。そして再度起こらないような処置を行う。

この大きな流れは変わりません。

ただし、なにも変わらないのであればそもそも言葉を変える必要がありません。大きな部分で変わらなくても細部では変更があるということを頭の片隅に置いていただくと良いと思います。

 

すこし具体に見ていきます。

 

まず、

 

1) その不適合を管理し,修正するための処置をとる。

 

発生した不適合について、きちんと把握する、コントロールできる状況に置くということです。そして、その状態から対応をしていきましょうということ。

 

2) その不適合によって起こった結果に対処する。

 

その不適合が発生し、どのような事態になったのか。その起きた事象に対応しましょうということ。

 

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

 

この項目から原因をつぶしていく対応が始まります。

 

1) その不適合をレビューする。

 

起こってしまった不適合について、評価を実施します。

2) その不適合の原因を明確にする。

 

言葉のままです。原因がどこに起因するのかきちんと確認します。

 

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

 

ここが抜けていることが多く見られますので、注意が必要なところです。以前の規格ではあまり触れられていませんでした。

ここでは、過去に起こった不適合の内容と照らし合わせ、似ているケースや同様のケースも確認する必要があります。

 

ここまで出来ると、ここからは実際の行動に変わっていきます。

 

  1. c) 必要な処置を実施する。

 

起こってしまった不適合について、a)項、b)項で認識した内容を元に、その原因を取り除くための処置を行います。

今までで言う「再発防止」になります。

 

  1. d) とった全ての是正処置の有効性をレビューする。

 

a)~c)項にて行った不適合に対する是正処置について、問題ないかレビューを行います。

レビュー=評価 とお考えください。

また、ISOの中では「有効性」という言葉が出てきます。

ここでは、「不適合に対する是正処置が有効に機能しているか」という視点で考えてみてください。

同じような問題が発生しないようであれば、有効であると考えられるでしょう。

 

  1. e) 必要な場合には,ISMS の変更を行う。

 

是正処置を行うと同時に、ISO27001:2013(ISMS)の仕組みに対する変更が必要ないかどうか、確認を行ってください。変更が必要な場合は忘れずに変更を行いましょう。

 

 

また、ISO27001:2013(ISMS)の要求事項では以下の文言があります。

 

————————————————————–

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

————————————————————–

つまり、是正処置と不適合に関しては、連動していなければおかしい、という話になりますね。

また、ISO27001:2013(ISMS)の要求事項にあるとおり、「文書化した情報を保持」しなければならないことになっています。

簡単に言うと、「記録に残す」という形です。

後から自社の取り組みを振り替えられるような取り組みをISOの中でも求められている、ということがわかりますね。

 

  1. f) 不適合の性質及びとった処置

不適合の内容とその際の処置は、今後の是正処置やリスク管理のためにも記録に残すことが求められています。

 

  1. g) 是正処置の結果

社内で行った是正処置に対しても、あとから社内で振り返るためにも記録に残していくことが求められています。

 

改善事項として考えた場合にも、是正処置の対応を社内で手順を残した上で記録に残す必要があることがわかりますね。

 

では、次に「継続的改善」について考えてみましょう。

規格要求事項では以下のように書かれています。

 

—————————————————————

10.2 継続的改善

組織は,ISMS の適切性,妥当性及び有効性を継続的に改善しなければならない。

—————————————————————

 

つまり、ISO27001:2013(ISMS)では、ただ仕組みを構築することが目的でなく、それをいかに活用できるか、がポイントになりますね。

おそらく、関わっている方は社内の改善に対しても意識出来ているのではないでしょうか。

 

今後も、是非規格要求事項とISO27001:2013(ISMS)について考えてみてください。

ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈

 

max16011508_TP_V

 

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの田牧です。

 

5月の連休を過ぎ、まだもう少し春を満喫したい!!

そんなことを思っていましたが、地球の温暖化なのか、夏まっしぐらな日々か続き、体調は崩されていませんでしょうか。

私事ではありますが、先日、子どもの運動会に参加してきました。

私の子供のころには、運動会と言えば「秋」の10月頃だったと記憶していますが、最近はこれくらいの時期に開催される学校も多いようですね。

元々は、夏の暑い時期に運動会の準備・練習・本番を迎えることでの参加者への負担を考慮したものだと聞いていますが、あまり変わらなくなってきました。

今週末にももう一度運動会があり、熱中症対策をしなければと、頭を悩ましています。

 

と、近況報告はこれくらいに、今回のテーマは『ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」について』です。

 

まずは、規格を確認して見ましょう。

 

JIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)では

8.1 運用の計画及び管理

組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2 項で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。

組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。

組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。

 

また、ここに出てきた6.1項及び6.2項も確認しておきます。

と思いましたが、かなりの長文となるのでどういった項番だったかというと

 

6.1 リスク及び機会に対処する活動

6.1.1 一般

6.1.2 情報セキュリティリスクアセスメント

6.1.3 情報セキュリティリスク対応

6.2 情報セキュリティ目的及びそれを達成するための計画策定

 

ということでした。やっぱり分かりづらいですね。

ですので、少しずつ紐解いていきましょう。まずは最初の一文です。

「組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。」

から見ていきましょう。

ここで求め求められているのは

情報セキュリティ要求事項を満たすために、項番6.1(=リスク及び機会に対する活動)で決定したことを計画して、実施し、管理すること。つまり、項番6.1では情報セキュリティリスクを認識し洗い出し、セキュリティ活動=目的(目標)を『計画』しましたが、今回はその『計画』を『実行』することが求められています。

よく言われるPDCAサイクルにおけるD=Doの部分が求められていることが読み取れます。

 

そして次に

「組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。」

『実行』されることが計画的にまた確実に行われるように、わかりやすく、明確なかたち、ここでは「文書化」と表現されていますが、記録を残すことが求められています。

 

そして

「組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。」

『実行』の内容については管理することで、その管理の中で変更があれば、見直し、修正、また必要な対応を求めています。

 

最後に

「組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。」

外部委託するものがあれば、そのプロセスを明確に、そのことを管理することを求められています。(このことは付属書AのA.15供給者関係に関連する部分ですので、今回は細かく触れませんが・・・)

改めで、簡単にこのJIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)8.1 運用の計画及び管理についてまとめますと

6章にて目的(目標)の達成と課題解決のための計画(Plan)を実行(Do)することが求められ、その管理についての要求事項について記載があるということになります。

 

自分で記載していても、この辺りはわかりにくいと感じますね。(無理にそうしているのではありません。恐らく私の文才がただただないのだと思うのですが。

 

ということでISO27001:2013(ISMS)のご取得をご検討中で、本ブログを読まれ、少しでも「?」と思われるようなことがあれば、お気軽に弊社、ISO総合研究所までご連絡ください!!

ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの残田です。

 

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

」について書いていきたいと思います。

 

 

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

 

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) ISMS に関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

組織は,次に示す事項を行わなければならない。

  1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  2. d) 各監査について,監査基準及び監査範囲を明確にする。
  3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. f) 監査の結果を関連する管理層に報告することを確実にする。
  5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

 

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

 

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 組織は,次に示す事項を行わなければならない。

  1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
  2. b) 各監査について,監査基準及び監査範囲を定める。
  3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  4. d) 監査の結果を関連する管理層に報告することを確実にする。
  5. e) 遅滞なく,適切な修正を行い,是正処置をとる。
  6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

 

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

組織は,次の事項を行わなければならない。

  1. a) 各監査について,監査基準及び監査範囲を明確にする。
  2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  3. c) 監査の結果を関連する管理層に報告することを確実にする。

組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

 

 

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

ここからは内容を細かく見ていきたいと思います。

 

>a) 次の事項に適合している。

>1) ISMS に関して,組織自体が規定した要求事項

>2) この規格の要求事項

→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

 

 

 

>b) 有効に実施され,維持されている。

→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

 

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

 

 

 

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

 

 

 

  1. d) 各監査について,監査基準及び監査範囲を明確にする。

→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

 

 

 

  1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

→自分がしている仕事内容を監査することができません。

 

 

 

  1. f) 監査の結果を関連する管理層に報告することを確実にする。

→監査結果を関連部署の部門長等に報告する必要があります。

 

 

 

  1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

 

 

 

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

 

 

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。

ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈

 

_shared_img_thumb_PAK86_kisyanoshitumonnikotaeru20140713_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの戸沼です。

 

今回のブログでは、「ISO27001:2013(ISMS):2013年度規格改訂 7.5項「文書化した情報」規格解釈」について書かせていただきます。

 

内容としては、

大きく下記の3つの項目をご説明させていただきます。

 

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

2.ISO27001(ISMS):2013年版で明確にされたこと

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

~~~~~~~~~~~~~~~~~~~~~~~~

1.ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比

 

まずは、ISO27001(ISMS):2006年版と、ISO27001(ISMS):2013年版の対比からみていきましょう。

 

ISO27001(ISMS):2006年版における構成は下記の通りです。

4.3 文書化に関する要求事項

4.3.1 一般

4.3.2 文書管理

4.3.3 記録の管理

 

ISO27001(ISMS):2013年版における構成は下記の通りです。

7.5 文書化した情報

7.5.1 一般

7.5.2 作成及び更新

7.5.3 文書化した情報の管理

 

上記のように章の構成は変わっています。

2006年版では「文書」と「記録」という2つの要素を管理すべきと述べられているのに対して、

2013年版では「文書化した情報」という1つの要素にまとめられていることが分かります。

 

このような変更がなされた背景には、社会のIT化があります。

ひと昔前では「文書・記録=紙媒体」でしたが、

現代においては「文書・記録=デジタル媒体」であるところも少なくありません。

例えば、ある運送会社様では、

荷物の積み下ろしの際の手順書は注釈を入れた動画になっていました。

同時に、荷物の積み下ろしがルール通りにできているかのチェックも動画とiPadによるチェックリストをもとに行われていました。

このように、現代では紙媒体のみならず、

デジタル媒体(WordやExcelデータ、動画データ、音声データ)も文書化された手順にも記録にもなりえますし、

生体認証(指紋、声紋、虹彩、静脈等)による認識履歴も記録になりえますので、

これまでの「文書」と「記録」という表現が見直されてきました。

 

ISO27001(ISMS):2013年版の規格要求事項を読み進めていくと、

ISO27001(ISMS):2006年版において「文書」とされていた事項と同一の取扱いが求められるのが、

「文書化した情報として利用可能である」「~プロセスについての文書化した情報を保持」といった表記になっている箇所となります。

同様に、

ISO27001(ISMS):2006年版において「記録」とされていた事項と同一の取扱いが求められるのが、

「~の証拠として、文書化した情報を保持する」といった表記になっている箇所となります。

 

媒体や手段の違いはあれど、

大きな要素としては変わっていないことが分かります。

 

~~~~~~~~~~~~~~~~~~~~~~~~

2.ISO27001(ISMS):2013年版で明確にされたこと

 

次に、ISO27001(ISMS):2013年版で明確にされたことをみていきましょう。

 

ISO27001(ISMS):2006年版にはない表現として、下記のような記述があります。

・「適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)」

・「適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)」

・「配付,アクセス,検索及び利用」

 

一見して分かることは、

2013年版では、文書化した情報の管理として、デジタル管理も想定された規格要求が明確化されました。

 

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、

デジタルデータの管理方法が部ごと、個人ごと、保管ツールごとに異なり、

社内の標準的なルールが定まっていないということです。

この点に関しては、今後ますますデジタルデータが増えていくことを見据えて、

最適解を社内で一度協議してみるのがよさそうです。

 

~~~~~~~~~~~~~~~~~~~~~~~~

3.ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきこと

 

最後に、ISO27001(ISMS):2006年版から、ISO27001(ISMS):2013年版に移行するにあたって確認すべきことを考えていきます。

 

私たちコンサルタントは、

様々な業種・業態の組織様のお手伝いをさせていただく中で、

役得と言いますか、様々な形・手段の「文書化した情報の管理」を拝見させていただいております。

その中で感じることは、

デジタルデータの情報管理に関しては、紙媒体の情報管理と比較して、まだまだ改善の余地がある組織様が多いということです。

 

うまく取り決めていらっしゃる組織様ですと、

データフォルダの管理に関して、

部ごと、組織を横断するグループごと(取締役会、委員会活動等)にデータフォルダを設けて、

その中でも「極秘・上・中・下」のようなアクセス制限設定がなされているようです。

データ管理に関しても、

タイトル名を「(部署名)+(現場・顧客名)+(案件名)+(日付)」といった共通の仕様を決め、

それに基づいたデータ管理をしているようです。

 

上記のような点にフォーカスをあてて、

貴社の情報セキュリティマネジメントシステムにおける文書化した情報の管理が整っているか、

見てみてはいかがでしょうか。

2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

_shared_img_thumb_AL204_uwamedukai20140830153709_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈

COW121004713_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの鈴木と申します。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈」というテーマで書かせていただきます!

ISO27001(ISMS):2013年版なんて今さらだと感じる方はいると思いますが、今回ISO9001:2015(QMS)、ISO14001:2015(EMS)も2015年版が出て規格改定を始めている方も多いと思いますので、書かせていただきます!

ISO27001(ISMS):2013年版、ISO9001(QMS):2015年版、ISO14001(EMS):2015年版での要求事項の項番が統一されているので、少しは役に立つと思います。

 

まずはISO27001(ISMS):2005年版とISO27001(ISMS):2013年版の要求事項に書かれている部分を見てみましょう。

 

□ISO27001(ISMS):2005版

8 ISMS の改善

8.1 継続的改善

組織は,情報セキュリティの基本方針及び目的,監査結果,監視した事象の分析,是正及び予防の処置,並びにマネジメントレビューを利用して,ISMS の有効性を継続的に改善しなければならない。

8.2 是正処置

組織は,ISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにとらなければならない。是正処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 不適合の特定
  2. b) 不適合の原因の決定
  3. c) 不適合の再発防止を確実にするための処置の必要性の評価
  4. d) 必要な是正処置の決定及び実施
  5. e) とった処置の結果の記録(3.3 参照)
  6. f) とった是正処置のレビュー

8.3 予防処置

組織は,ISMS の要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は,起こり得る問題の影響に見合ったものでなければならない。予防処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 起こり得る不適合及びその原因の特定
  2. b) 不適合の発生を予防するための処置の必要性の評価
  3. c) 必要な予防処置の決定及び実施
  4. d) とった処置の結果の記録(3.3 参照)
  5. e) とった予防処置のレビュー

組織は,変化したリスクを特定し,大きく変化したリスクに注意を向けて,予防処置についての要求事項を特定しなければならない。

予防処置の優先順位は,リスクアセスメントの結果に基づいて決定しなければならない。

注記 不適合を予防するための処置は,多くの場合,是正処置よりも費用対効果が大きい。

 

 

□IS027001(ISMS):2013版

10 改善

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

  1. a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。

1) その不適合を管理し,修正するための処置をとる。

2) その不適合によって起こった結果に対処する。

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

1) その不適合をレビューする。

2) その不適合の原因を明確にする。

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

  1. c) 必要な処置を実施する。
  2. d) とった全ての是正処置の有効性をレビューする。
  3. e) 必要な場合には,ISMS の変更を行う。

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

  1. f) 不適合の性質及びとった処置
  2. g) 是正処置の結果

 

 

 

 

 

はい、それでは項番の解説をしていきます!!!

 

■解釈のポイント

要約すると、

・不適合が起きた場合は管理して修正するための処置をとり、不適合によっておこった結果に対処する。

・その不適合の再発防止のため、不適合をレビューし、原因を明確にし、似たようなケースがないか、又は想定されないかを明確にし、原因除去のための処置を取る必要があるのか、必要性を評価する。

・必要な処置を実施、その(不適合のもと影響も著しさに応じた)是正処置がいかに有効であったか、有効性をレビューし、それにより必要が発生した場合は、環境マネジメントシステムの変更も行う。

・不適合の性質及びそれに対してとった処置、是正処置の結果を文書化し、保持する

 

上記を実施すれば、この10.1項「不適合及び是正処置」の要求事項に関しては満たされます。

 

〇旧規格との違い

ISO27001(ISMS):2005年版には、修正するための処置はありませんでしたが、ISO27001(ISMS):2013年版の規格から修正するための処置の要求事項が追加されています。

また、逆になくなった点として、予防処置の要求事項がなくなりました。

 

 

今回はISO27001(ISMS):2013年版10.1項「不適合及び是正処置」規格解釈というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

 

また、ISO(アイエスオー)を新規取得したい、またはISO(アイエスオー)のための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

 

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

ISO27001:2013(ISMS):2013年度規格改訂 7項「支援」規格解釈

 

PASONA_41_TP_V

 

こんにちは!!

ISO総合研究所コンサルタントの堀田です!!

さて、今日はISO27001:2013(ISMS)の「7.支援」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

7 支援

7.1 資源

組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

 

7.2 力量

組織は、次の事項を行わなければならない。

a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。

b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。

c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。

d)力量の証拠として、適切な文書化した情報を保持する 。

注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

 

7.3 認識

組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。

a)情報セキュリティ方針

b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献

c)ISMS要求事項に適合しないことの意味

 

7.4 コミュニケーション

組織は、次の事項を含め、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。)

b)コミュニケーションの実施時期

c)コミュニケ一ションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

 

7.5 文書化した情報

7.5.1 一般

組織のISMSは、次の事項を含まなければならない。

  1. a) この規格が要求する文書化した情報
  2. b) ISMSの有効性のために必要であると組織が決定した、文書化した情報

注記 ISMSのための文書化した情報の程度は、次のような理由によって、それぞれの組織で異なる場合がある。

1)組織の規模、並びに活動、プロセス、製品及びサービスの種類

2)プロセス及びその相互作用の複雑さ

3)人々の力量

7.5.2 作成及び更新

文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。

a)適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)

b)適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)

c)適切性及び妥当性に関する、適切なレビュー及び承認

7.5.3 文書化した情報の管理

ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。

a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。

b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって、該当する場合には、必ず、次の行動に取り組まなければいけない。

c)配付、アクセス、検索及び利用

d)読みやすさが保たれることを含む、保管及び保存

e)変更の管理(例えば、版の管理)

f)保持及び廃棄

ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて、特定し、管理しなければならない。

注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧及び変更の許可及び権限に関する決定などを意味する

要求事項の分になると難しく感じてしまいますが

7章が求めていることはマネジメントシステムを支援する基本要素を言っています。

「7.1 資源」では、ISO27001:2013(ISMS)を運用、継続的改善をするときに必要な資源を決定し、提供しなければなりません。

簡単に言うと、お仕事をする上で、なくてはならないもの、当たり前のことを準備するように記載されています。

決してISMSに特化したものではありません。

「7.2 力量」では社内で定めた力量を持っているか確認します。力量という子駑馬は普段聞きなれない言葉ですよね。

用語の解釈では「意図した結果を達成するために、知識及び技能を適用する能力」

今まで従業員が受けてきた教育や訓練、経験などから本当にその力量を持っているかどうか確認します。

力量が不足していると判断した場合は、再教育など何らかの処置を講じる必要があります。

何らかの教育や処置を行った場合は記録の作成も忘れてはいけません。

 

「7.3 認識」では組織の管理下で働く人々は、a~cに関して知っていなければならないということです。

a~cの項目において組織下にいる人たちがどれだけ理解しているかは常日頃の代表や管理責任者がどれだけ頻繁に声かけしているかだと思います。
リーダーシップに期待です。

「7.4 コミュニケーション」では、外部とのコミュニケーションをとるために必要な事項を決めます。
5W1Hで考えるといいですね!
「7.5 文書化された情報」では文書化された情報を作成~承認、更新までの基本が書かれています。
文書化した情報は社内で展開した後、改廃を管理しなければいけません。
その責任は明確にしておかないといけませんね!
お客様先に訪問すると、旧版のマニュアルをまだ保管していたり、新しい手順書が共有されていなかったりするところをよく目にします。
紙で管理しているとこのような出来事が多いので、ぜひデータで管理し、あまり出力しない方法をお勧めします。

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO総合研究所にお問い合わせ下さい!

 

 

 

ISO27001:2013(ISMS):2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

 

PASONA160306530I9A1806_TP_V

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」規格解釈

 

 

 

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

こんにちは。

ISO総合研究所コンサルタントの栗林です。

今回はISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」についてです。

先ずは規格を見てみましょう。

7.4 コミュニケーション 

組織は,次の事項を含め,ISMS(ISO27001:2013)に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。

b)コミュニケーションの実施時期

c)コミュニケーションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

ISO(アイエスオー)ではISO9001:2015(QMS)でもISO14001:2015(EMS)でもISO27001:2013(ISMS)でも”コミュニケーション”という言葉が登場します。

ISO9001:2015(QMS)では5.5.3、ISO14001:2015(EMS)では4.4.3項、ISO27001:2013(ISMS)では7.4項に登場します。

コミュニケーションときくと、ISO(アイエスオー)とは関係ないところでも

普段使われる単語の一つです。
ISO(アイエスオー)では違うことをさしているのではないかと考えがちですが、
基本的には普段使っているコミュニケーションと変わりません。

細かいことを言うと、ISO9001:2015(QMS)とISO14001:2015(EMS)のコミュニケーションでは
言われていることが少し異なります。
ですが、基本的な考え方は同じです。
社内の従業員同士、従業員と社長、事務員と現場の方、
営業と顧客、近隣住民の方、近隣の工場の方などなど…。
お仕事や周辺環境などによってコミュニケーションをとれる対象や、
とらなくてはいけない対象は変わってきます。
(ISO9001:2015(QMS)とISO14001:2015(EMS)でも要求されている対象がかわります)

これらの必要なコミュニケーションの手段を決めておいて、
適切に行いましょうというのが目的です。
ですので、10社ISO(アイエスオー)のISO9001:2015(QMS)やISO14001:2015(EMS)を運営管理していれば、
10社違う手段を用いているともいえます。
実施している内容を見れば、共通してやっていることも多々ありますが、
すべて同じことをしているというのは稀です。
様々な影響によりやり方もやらなくちゃいけないこともかわるということも、
その一つの要因です。

やらなくてはいけないことは必要な情報を共有する場を作る
ということです。
その必要な情報についても様々あるので一概にはいえませんが、
シンプルに言えば、社内外でのコミュニケーションを上手く取る
仕組みを決めておきましょうといったところでしょうか。

 

違う内容をもう一つ。

ISO(アイエスオー)の新規認証にかかる期間は、一般的には6ヶ月と言われます。

多くの会社で運用されているISO(アイエスオー)やPマーク(プライバシーマーク)の仕組は、非常に不合理なものです。

 

例えば、ISO9001:2015(QMS)では、10年前の大量生産・大量消費時代のころのしくみが、多品種小ロットが主流になった現在でもそのまま使われています。

 

ISO14001:2015(EMS)では、80年代の環境への負荷を考えずあらゆるものを「垂れ流していた時代」につくった環境影響評価等のしくみが、現在では様々な環境対策が整備されているにもかかわらず、まったく手を付けられずに残っている事実があります。

 

ISO27001:2013(ISMS)では、3ケ月あれば新しい情報ツールが出るこの時代に、10年前の情報リスク対策が、何も見直されずに継続して運用されています。

 

Pマーク(プライバシーマーク)でも、従業員が1万人クラスの超大手企業が10年前の構築したしくみを100人未満の企業がそのまま流用しています。

 

このような事実があります。

 

そして、恐ろしい事に、このような前時代的なしくみを新規認証にあたって、あらたに社内構築するところもあるのです。

 

それに対し、私たちはすでに会社の中にあるしくみを使って無理の無いようにISO(アイエスオー)の認証・運用をするスタンスです。

 

インターネット社会の普及により、様々な情報を入手できるようになった反面、情報の見極めも必要になってくるのではないのかと思います。

文書は、ISO(アイエスオー)に必要だから作るものではなく、本来『業務に必要だから作る』もの。ISO(アイエスオー)のために1から文書を作るのではなく、既存のマニュアルや作業手順をなるべく活用させ『今できること』から行うことで、『文書化』は楽になります。
『○○の仕事を□□さんが担当する』というのが本来の役割分担ですが、『□□さんに担当してもらう仕事は…○○にしよう』といった流れで業務が行われている会社があります。

また、『できる社員』『経験のある△△さん』がいる会社では、その人を中心に仕事がまわっていることもあります。

このような会社では、ISO(アイエスオー)を導入することでこれまでのやり方が崩れ、仕事がやりにくくなることもあります。

現状ではうまく仕事が流れているとしても、景気等の外的要因や、派遣社員、中途入社、早期退職者の増加などの内的要因によって、組織を取り巻く状況は刻々と変わります。誰がやっても同じ仕事ができるようにするため、業務の標準化を行っていきましょう。
リーダーが掲げた目的・目標が理想に走りすぎな(現実よりかけ離れている)場合、既存業務とのギャップが生じ業務に影響が出ることもあります。

ISO(アイエスオー)で高い目標を掲げても、実際には実現不可能で、逆にやる気を失ってしまった、というケースも見られます。

目標を立てる際は、会社の技術上の選択肢、財政上の諸事情を配慮した上で、理念に沿った具体的目標を立てていきましょう。

ISO(アイエスオー)を構築した最初の年は、結果を出そうと必死になる必要はありません。『認証取得』という結果だけで充分です。肝心なのは、『継続的改善』です。C(内部監査等)やA(レビュー、改善)を続けていくことで、少しずつ効果が出ていくということを認識しておきましょう。

これからのISO(アイエスオー)との付き合い方は近年、ISO(アイエスオー)が経営寄りに変わってきている中で、使い方に違いがでてきています。
具体的に説明するとISO(アイエスオー)の認証維持する目的が90年代に流行った品質保証を目的としたものから実務を活かして負担をできるだけかけずに認証維持する考えに変わってきました。

品質保証を目的においていた時代は、すべての文書や記録に対して、本当にそれで問題がないのか保証する必要がありました。
そのため、なんでも手順書を作って、ルールで縛り、現場で使っている文書や記録を保証する文書や記録まで二重に作っており負担が大きくなっておりました。その結果、ISO(アイエスオー)用の活動が増え、資料もキングサイズのファイルが10個以上並び膨大に膨れ上がります。

負担をかけて、本来の業務が圧迫されることは経営の観点からも望ましいものではございません。
そのような現状から認証を辞退する組織も続出したため、審査機関の考え方も変化し、
近年は負担をかけず実務を活かしてマネジメントシステムを構築することを推奨している審査機関が増えてきております。

製造業界や建設業界等で根強くISO(アイエスオー)認証しているかどうかが、経営に大きく関わる組織はできるだけ負担がかからず、実務をしていれば認証維持できる審査機関を選び、ISO(アイエスオー)用に二重になっている無駄な仕組みは整理していくことがうまく付き合っていくコツになっています。

 

再度言います、ISO(アイエスオー)を取得しようとして手間が増えるという事はありません。

私たちはすでに会社の中にあるしくみを使ってムリの無いようにISO(アイエスオー)の認証・運用をするスタンスです。