すでにISOの規格改訂を終えた30社から学べる3つのぶっちゃけ話

 

_shared_img_thumb_YOTA82_OKdemashita15124015_TP_V

ISO総研の古江です。

 

今日は、ISO規格改訂の実例を踏まえたお話をします。本当に御社が

ISOと向き合うためには絶対に避けてはいけない・知っておいてほしいことを

3つまとめてみます。

 

 

 

その1:審査機関はなぜ規格改訂審査を早く受けさせたいのか?

 

『審査機関のセミナーにいくと、規格改訂の審査を早くうけるようにという

促進をされます。早く審査をうけた方がよいですかね?』

 

よくご担当者の方からこういうご相談をうけます。審査を早くうけた方がよいか

どうかは後で説明するとして、まず、なぜ規格改訂審査を早く受けさせたいのだと

思いますか?

 

まず、規格改訂に向けて一番困っているのは誰でしょう?

当然、ISO担当である皆さんも困っておられると思いますが、実は一番困っているのは、

審査機関であり、審査員なのです。

では、なぜ審査機関や審査員が困っているのでしょう?

それは、「圧倒的に審査実績がないから」なのです。

 

ことわっておきますが、審査員は新しい規格を一番読み込んで一番勉強しています。

毎日毎日、規格要求事項にペンをいれて、うーんとうなっていると思ってください。

 

しかし、実際のところは、そんな戦いを毎日していたとしても、まだ規格改訂の

審査をしたことがないという審査員が世の中にたくさんおられるのです!

そう、勉強はしていても机上におわっている審査員がたくさんいるんだということです。

 

そんな審査員がたくさんいたら、当然、審査機関は不安でしょう?

そこで審査機関は対策をうちたいわけです。

 

できる方法はあまりありません。

少しでも早く、企業の皆さんに規格改訂の審査をうけさせるしか方法はないのです。

 

また、もう1つできるのは、ほかの審査員が経験した情報をケーススタディとして、所属する

審査員に伝えて教育したいのです。そのためには、審査機関は1つでも多くのケーススタディがほしいのです。

 

このような状況から、どの審査機関も無料セミナー等を通して、一生懸命、『早く審査しましょう!』

と啓蒙教育しているのです。

 

かりに、もし、どの企業も様子見をして改訂期限ぎりぎりに心さなんてことになると・・・

 

規格改訂ギリギリの段階ですっごいたくさんの審査が行われて・・・

しかも経験したことがない審査員ばかりが審査に行き・・・・・・

なんだったら改訂期限きちゃうんじゃないか・・・・

 

審査機関はこんな事態想像することも怖いでしょうね(笑)

 

実際に、審査を早く終えた企業では、

 

『早く規格改訂審査を受けてもらってたすかります。事例がはいりますから(笑)』

という話をされています。

 

このように、審査機関は御社のことを思って早く認証をした方がよいと思っているのも事実

ですが、自分たちにとってもそういう背景があって早くうけさせたいんだということを知っておきましょう。

 

 

 

その2:改訂審査をうけるのは、本当はいつがよいのか?

 

では上記の内容を踏まえ、皆さんはいつ改訂審査をうけるとよいのでしょうか?

 

例えば当社ではすでに規格改訂の審査を終えられたお客様が30社ほどおられます。

 

どのお客様も、当社コンサルタントから『まだ経験浅いですけどやらせてください!』

というようなお願いのもと進めました。

当然お客様は不安の中だったでしょう。

早いというのは前例が少ないためやはり不安です。

 

そんな半面、審査機関や審査員も前例がないため、正直、これはどうかな?と思われるような内容でも指摘されずに認証になっているということもあります。

審査員が見つけきれなかったかもしれませんし、まだ前例がないため基準が甘かったのか

もしれません。おそらく両方の理由からすんなり認証が終わりました。

 

これが改訂期限ギリギリになったとしたらどうでしょうか?

コンサルタントも審査員も実績や経験をバッチリつんでいるため、指摘になるとかならない

とかの基準はいまよりも明確になっているでしょう。

しかもケーススタディがたくさんでているでしょうから、審査も余裕をもって幅のある審査ができるはずです。

 

しかしその反面、基準が明確になっているということで指摘が増えてくるでしょう。

そしてその件数が多いと、改訂期限がせまってくるのでは?という不安があります。

 

つまり、どちらのケースでも、メリットとデメリットがあるということです。

 

ただ、当社としては、規格改訂は早く受けすぎない方向が良いとしています。

別に、審査機関を困らせたいわけではありません(笑)

大事なのは、規格改訂ができた・できない ではなく、規格改訂の意図である、

『本来の日常業務に焦点があたったかどうか?』です。

 

ぶっちゃけ、ISOの規格改訂なんて、テクニックで簡単に終えられると思います。

 

しかし、このタイミングでまたルールを肉付けしてテクニックで規格改訂審査をおえてしまうと、

困るのは誰でしょう?

 

審査員でも審査機関でもありません。

 

あらたにルールがつくられ、さらにISOで業務が圧迫される、御社の従業員の皆さんです。

そして、それを現場に押し付けないといけないというストレスを抱える、ISO担当者の皆さん

なのです。

 

次の3つ目のポイントでは、もう少しこのあたりを説明します。

 

 

 

その3:実はこれまでのISOの経験が邪魔をするんです!

 

実は2015年版には、日常業務に焦点を充てるという意図があります。

 

私は営業等で2015年版を新規認証する企業様には、『もし明日審査でも認証されますよ』

とういう話をしてます。

そのくらい、実務でやっている活動を審査で見てもらうことができます。

 

実際、当社では毎月10社ほどの新規認証のサポートがありますが、2015年版での審査を

急ぎの場合約4か月で認証されているケースもあります。

つまり、2015年版を新規認証する企業は、ISO用に演出することなどなく認証が

できているんです。

 

 

ここでいう日常業務とは、お客様の要求や法的規制要求、会社の要求で取り組んでいる活動のことです。

新規で認証をしようとしている会社は、当然ですが日常業務しかありません。

 

昔のISOは、この日常業務に加えて、審査用の業務とも呼んでも過言じゃない活動がありましたよね?

規格要求用に対応するため、いろんなルールや活動を肉付けしてきているでしょう?

たとえば、購買先の評価としてA評価、B評価といった評価をつける購買先評価表をルールに追加

したり、誰も読まないような契約内容確認規定なんてつくってみたり、技術の人がいやがっている

のに、設計検証記録、設計妥当性記録なんて導入したり。

 

 

つまり、長く昔のISOで求められていた当たり前のことが、いまのISOでは求められないということが

多々あるのです。

極端な話、これまでのISOを一蹴するかのような状況になっているんです。

 

現場に行くと、これまでのISO経験が邪魔をするよなと本当に肌で感じます。

私も古いコンサルタントなので同じ感覚なんです(笑)

 

先日、あるむかーし活躍していた審査機関の審査員が『2015年版用での運用期間がいりますよ』

という話をしているのを聞きました。そんなことをいうから皆さんが混乱するんですけどね。

 

ただこれは、御社のルールが古いISO用のルールを残してしまっているからなのですよ。

これを日常業務に焦点をあてた新しいルールに変えないと、2015年版は始まりません。

 

当社のすでに改訂審査を終えているお客様は、運用期間なんて発想はありません。

そもそも、改訂のタイミングの前に、スリム化し、日常業務に焦点をあてた活動に切り替えているから

なのです。

ちょっと規格要求を交えると、規格改訂は、ISO認証企業からするとリスク及び機会。

どんな審査になるかわかりませんが、その裏側で、自社のISO用に作られた仕組みを日常業務に

焦点を当てなおすことができる願ってもないチャンスなんです!

 

 

★ここからは読んでくれた人だけ

 

もし御社が、本気でこれまでのISOを卒業し、お客様対応を中心とした日常業務だけで審査認証に

むかっていきたいのならば、それは本当に実現可能です。

 

必ずそのようなシステムに変更していきます。

怖がらずに一度相談ください。

実際の実例をもってお話させて頂きます。

問合せは「ISO総合研究所」で検索してみてください!

ISO9001:2015年規格改訂6項「計画」規格解釈

ookawa160214168677_TP_V毎度毎度お世話になってます。

体脂肪率10%以下になりたくて体幹運動に余念がないISO総合研究所の立松です。

 

今までは、プライバシーマークについてお話しをさせていただいておりましたが

今回は初めてISOに関連したお話しをさせていただきます。

今回のテーマは、

『ISO9001:2015年度規格改訂6 計画』の全体について規格解釈をさせていただきたいと思います。まずは同項番で何を求めているかについて確認してみましょう。 

第1章

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』概要

6.1項「リスク及び機会への取組み」では、6.1.1と6.1.2の2パートに分けることが出来ます。今回、2015年度版から新しく追加された項目になりますが、全く構える心配はありません。なぜなら普段から行っている活動がほとんどだからです。それでは、それぞれ何を言っているか検証していきましょう。

6.1.1

品質マネジメントシステムの計画を策定するとき、組織は、4.1に規定する課題及び4.2に規定する要求事項を考慮し、次の事項のために取り組む必要があるリスク及び機会を決定しなければならない。

a)品質マネジメントシステムが、その意図した結果を達成できるという確信を与える。

b)望ましい影響を増大する。

c)望ましくない影響を防止又は低減する。

d)改善を達成する。

6.1.2

組織は、次の事項を計画しなければならない。

a)上記によって決定したリスク及び機会への取組み

b)次の事項を行う方法

1)その取組みの品質マネジメントシステムプロセスへの統合及び実施

2)その取組みの有効性の評価

リスク及び機会への取組みは、製品及びサービスの適合への潜在的な影響と見合ったものでなければならない。

注 記1 リスクへの取組みの選択肢には、リスクを回避すること、ある機会を追求するためにそのリスクを取ること、リスク源を除去すること、起こりやすさ若しくは結果を変えること、リスクを共有すること、又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

注記2 機会は、新たな慣行の採用、新製品の販売、新市場の開拓、新たな顧客への取組み、パートナーシップの構築、新たな技術の使用、及び組織のニーズ又は顧客のニーズに取組むためのその他の望ましくかつ実行可能な可能性につながり得る。

第2章

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』についての規格解釈そもそも、ここで言う『リスク』とはなんでしょうか?新規格にはこうも書かれています。

0.3.3 リスクに基づく考え方

リスクに基づく考え方(A.4参照)は、有効な品質マネジメントシステムを達成するために必須である。リスクに基づく考え方の概念は、例えば、起こり得る不 適合を除去するための予防処置を実施する、発生したあらゆる不適合を分析する、及び不適合の影響に対して適切な、再発防止のための取組みを行うということ を含めて、この国際規格の旧版に含まれていた。組織は、この国際規格の要求事項に適合するために、リスク及び機会への取組みを計画し、実施する必要がある。

リスク及び機会双方への取組みによって、品質マネジメントシステムの有効性の向上、改善された結果の達成、及び好ましくない影響の防止のための基礎が確立する。機会は、意図した結果を達成するための好ましい状況、例えば、組織が顧客を引き付け、新たな製品及びサービスを開発し、無駄を削減し、又は生産性を向上させることを可能にするような状況の集まりの結果として生じることがある。機会への取組みには、関連するリスクを考慮することも含まれ得る。リスクとは、不確かさの影響であり、そうした不確かさは、好ましい影響又は好ましくない影響をもち得る。リスクから生じる、好ましい方向へのかい離は、機会を提供し得るが、リスクの好ましい影響の全てが機会をもたらすとは限らない。

うーん。

難しいですね。

今回の規格改定は『事業との統合化』いわゆる企業の実務とISOの運用があまりにかけ離れていることが多いため、出来る限り実態に沿った形で運用を行っていきましょうという趣旨のはず。

分かりやすい文章で伝えることも考えていただきたいです。

事例を挙げてみると、

①他業種から競合が業界に参入してきた

上記のリスクとして、売上の減少に繋がることや価格競争により薄利多売になることもリスクとして挙げられます。

②取引先から来年、仕事量を増やしても対応できるか口頭で話があった

リスク:売上の増加に繋がる

おや?っと思った方。

そうなんです!実は、リスクはマイナスの要素だけでなく、チャンスの面もあるのです。

「ピンチはチャンス」とは良く言ったものです!

プラスとマイナスのリスクと機会を集めることで、企業の経営にも大きく関わってきます。

この辺りが改訂後の規格について、トップにもたらす影響が大きくなった部分ですね。

このリスク及び機会への取組みを、対策とその効果のフォローアップまで5W1Hでマネジメントレビューのインプット項目に追記したり、別途帳票を作成したりして対応すればいいわけですね。

このように細分化してとらえれば意外と難しくもなさそうではないですか?

ご興味がございましたらお手に取っていただければ幸いです。

ISO9001:2015 文書化した情報について

OZPAyatta_TP_V

いつもブログをご愛読いただきまして誠にありがとうございます。

ISO総合研究所コンサルタントの松口と申します。

 

お盆休みも終わり、今年もあと残りわずかとなってきましたね。

1年って本当にあっという間ですね。

プライベートでは、息子が保育園にも慣れてくれて大号泣しなくなりました。

今ではちゃんとバイバイしてくれるようになり成長を感じております。

最近はアンパンマンやトーマスがマイブームのようで見つけると「これ、これ」と

指差してドヤ顔してきます笑

パパやママとも喋ってますが、まだ、たまにパパのことをママと言ったりおバカな息子ちゃんです笑

 

まぁ、プライベートの話はこのくらいにしておきまして、そろそろ本題に入らさせて頂きたいと思います。

前回のブログでは「ISO9001:2015年度の概要」をご紹介させて頂きましたが、今回は「ISO9001:2015 文書化した情報について」をご紹介させて頂きます。

 

ISO9001(アイエスオー9001)が2015年に規格が改訂され、文書についての記載が変更になりました。

今までのISO9001:2008(アイエスオー9001:2008)では、文書類、文書化された手順、記録という記載となっておりました。文書化された手順(文書化要求)は6か所、記録(記録要求)は21か所の記載がされておりました。

ISO9001:2015(アイエスオー9001:2015)では、これらの表記がすべて文書化された情報と記載されるように変更となりました。では、すべて文書化された情報と記載されてしまっていて、文書と記録の判別はどのようにすればいいのかと疑問を持たれるかと思います。

そこで判別する方法をお教えいたします。

 

文書化された情報の維持と記載されているものは「文書」、文書化された情報の保持と記載されているものは「記録」と判別する方法がございます。

ISO9001:2015(アイエスオー9001:2015)では文書要求は5か所、記録要求は20か所となっております。

 

それでは具体的にどこの部分に文書化された情報の維持が記載されているか、文書化された情報の保持が記載されているかを説明させて頂きます。

 

 

まずは文書化された情報の維持に関しての5か所です。

①4.3 品質マネジメントシステムの適用範囲

c)組織の品質マネジメントシステムの適用範囲は、文書化した情報として利用可能な状態にし、維持しなければならない。

②4.4.2  品質マネジメントシステム及びそのプロセス

a)プロセスの運用を支援するための文書化した情報を維持する。

③5.2.2 品質方針の伝達

a)文書化した情報として利用可能な状態にされ、維持される。

④6.2.1 品質目標及びそれを達成するための計画策定

組織は、品質目標に関する文書化した情報を維持しなければならない。

⑤8.1 運用の計画及び管理

e)次の目的のために必要な程度の文書化した情報の明確化、維持及び保持

1)プロセスが計画通りに実施されたという確信をもつ

2)製品及びサービスの要求事項への適合を実証する

 

次に文書化された情報の保持に関しての20か所です。

①4.4.2 品質マネジメントシステム及びそのプロセス

b)プロセスが計画どおりに実施されたと確信するための文書化した情報を保持する。

②7.1.5.1 監視及び測定のための資源

組織は、監視及び測定のための資源が目的と合致している証拠として、適切な文書化した情報を保持しなければならない

③7.1.5.2 測定のトレーサビリティ

a)定められた間隔で又は使用前に、国際計量標準又は国家計量標準に対してトレーサブルである計量標準に照らして校正若しくは検証、又はそれらの両方を行う。そのような標準が存在しない場合には、校正又は検証に用いたよりどころを、文書化した情報として保持する。

④7.2 力量

d)力量の証拠として、適切な文書化した情報を保持する。

⑤8.1 運用の計画及び管理

e)次の目的のために必要な程度の文書化した情報の明確化、維持及び保持

1)プロセスが計画通りに実施されたという確信をもつ

2)製品及びサービスの要求事項への適合を実証する

⑥8.2.3.2 製品及びサービスに関する要求事項のレビュー

組織は、該当する場合には、必ず次の事項に関する文書化した情報を保持しなければならない。

 

⑦8.3.2  設計・開発の計画

j)設計・開発の要求事項を満たしていることを実証するために必要な文書化した情報

⑧8.3.3 設計・開発へのインプット

組織は、設計・開発へのインプットに関する文書化した情報を保持しなければならない。

⑨8.3.4 設計・開発の管理

f)これらの活動についての文書化した情報を保持する。

⑩8.3.5 設計・開発からのアウトプット

組織は、設計・開発のアウトプットについて、文書化した情報を保持しなければならない。

⑪8.3.6 設計・開発の変更

組織は、次の事項に関する文書化した情報を保持しなければならない。

⑫8.5.2 識別及びトレーサビリティ

トレーサビリティが要求事項となっている場合には、組織は、アウトプットについて一意の識別を管理し、トレーサビリティを可能とするために必要な文書化した情報を保持しなければならない。

⑬8.5.3 顧客又は外部提供者の所有物

顧客若しくは外部提供者の所有物を紛失若しくは損傷した場合、又はその他これらが使用に適さないと判明した場合には、組織は、その旨を顧客又は外部提供者に報告し、発生した事柄について文書化した情報を保持しなければならない。

⑭8.5.6 変更の管理

組織は、変更のレビューの結果、変更を正式に許可した人(又は人々)及びレビューから生じた必要な処置を記載した、文書化した情報を保持しなければならない。

⑮8.6 製品及びサービスのリリース

組織は、製品及びサービスのリリースについて文書化した情報を保持しなければならない。これには、次の事項を含まなければならない。

a)合否判定基準への適合の証拠

b)リリースを正式に許可した人(又は人々)に対するトレーサビリティ

⑯8.7.2 不適合なアウトプットの管理

組織は、次の事項を満たす文書化した情報を保持しなければならない。

a)不適合が記載されている。

b)とった処置が記載されている。

c)取得した特別採用が記載されている。

d)不適合に関する処置について決定する権限をもつ者を特定している。

⑰9.1.1 監視、測定、分析及び評価

組織は、品質マネジメントシステムのパフォーマンス及び有効性を評価しなければならない。組織は、この結果の証拠として、適切な文書化した情報を保持しなければならない。

⑱9.2.2 内部監査

f)監査プログラムの実施及び監査結果の証拠として、文書化した情報を保持する。

⑲9.3.3 マネジメントレビュー

組織は、マネジメントレビューの結果の証拠として、文書化した情報を保持しなければならない。

⑳10.2.2 不適合及び是正処置

組織は、次に示す事項の証拠として、文書化した情報を保持しなければならない。

a)不適合の性質及びそれに対してとったあらゆる処置

b)是正処置の結果

 

以上がISO9001:2015(アイエスオー9001:2015)における文書化した情報になります。

 

まだまだ他にも変更になったところはたくさんあります。

これから自社で規格改訂作業をやろうとお考えのみなさま、もう改訂作業に取り掛かっているけどなかなか改訂作業が進まないみなさま。ISO総合研究所を事務局として迎えて頂いて一緒に規格改訂作業を進めていきましょう。

 

もちろんこれからISO9001(アイエスオー9001)を新規取得しようとお考えの皆様も

お手伝いをさせて頂きますので、ISO総合研究所にご連絡を頂ければと思います。

ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」規格解釈

shared_img_thumb_PAK85_Projectannai20141123172459_TP_V

いつもお世話になっております。

ISO総合研究所 コンサルタントの濱田 章弘(はまだ あきひろ)と申します。

 

さて、いつも大変ご好評いただいております当ブログでございます当ブログですが、

今回のテーマは、

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』について規格解釈をさせていただきたいと思います。

まずは同項番で規格が何を求めているかについて確認してみましょう。

 

■第1章

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』概要

 

6.1項「リスク及び機会への取組み」では、

6.1.1と6.1.2の2パートに分けることが出来ます。

2015年度版から新しく追加された項目ですが全く構える心配はありません。

なぜなら普段から行っている活動がほとんどだからです。

それでは、それぞれ何を言っているか検証していきましょう。

 

6.1.1

品質マネジメントシステムの計画を策定するとき、組織は、4.1に規定する課題及び4.2に規定する要求事項を考慮し、次の事項のために取り組む必要があるリスク及び機会を決定しなければならない。

 

a)品質マネジメントシステムが、その意図した結果を達成できるという確信を与える。

 

b)望ましい影響を増大する。

 

c)望ましくない影響を防止又は低減する。

 

d)改善を達成する。

 

6.1.2

組織は、次の事項を計画しなければならない。

 

a)上記によって決定したリスク及び機会への取組み

 

b)次の事項を行う方法

 

1)その取組みの品質マネジメントシステムプロセスへの統合及び実施

 

2)その取組みの有効性の評価

 

リスク及び機会への取組みは、製品及びサービスの適合への潜在的な影響と見合ったものでなければならない。

 

注 記1 リスクへの取組みの選択肢には、リスクを回避すること、ある機会を追求するためにそのリスクを取ること、リスク源を除去すること、起こりやすさ若し くは結果を変えること、リスクを共有すること、又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。

 

注記2 機会は、新たな慣行の採用、新製品の販売、新市場の開拓、新たな顧客への取組み、パートナーシップの構築、新たな技術の使用、及び組織のニーズ又は顧客のニーズに取組むためのその他の望ましくかつ実行可能な可能性につながり得る。

 

■第2章

『ISO9001:2015年度規格改訂6 計画 6.1項「リスク及び機会への取組み」』についての規格解釈

 

そもそも、ここで言う『リスク』とはなんでしょうか?

新規格にはこうも書かれています。

 

0.3.3 リスクに基づく考え方

リ スクに基づく考え方(A.4参照)は、有効な品質マネジメントシステムを達成するために必須である。リスクに基づく考え方の概念は、例えば、起こり得る不 適合を除去するための予防処置を実施する、発生したあらゆる不適合を分析する、及び不適合の影響に対して適切な、再発防止のための取組みを行うということ を含めて、この国際規格の旧版に含まれていた。

 

組織は、この国際規格の要求事項に適合するために、リスク及び機会への取組みを計画し、実施する必要がある。

リスク及び機会双方への取組みによって、品質マネジメントシステムの有効性の向上、改善された結果の達成、及び好ましくない影響の防止のための基礎が確立する。

 

機会は、意図した結果を達成するための好ましい状況、例えば、組織が顧客を引き付け、新たな製品及びサービスを開発し、無駄を削減し、又は生産性を向上させることを可能にするような状況の集まりの結果として生じることがある。

機会への取組みには、関連するリスクを考慮することも含まれ得る。

リスクとは、不確かさの影響であり、そうした不確かさは、好ましい影響又は好ましくない影響をもち得る。

リスクから生じる、好ましい方向へのかい離は、機会を提供し得るが、リスクの好ましい影響の全てが機会をもたらすとは限らない。

 

うーん。

難しいですね。

今回の規格改定は『事業との統合化』いわゆる企業の実務とISOの運用があまりにかけ離れていることが多いため、出来る限り実態に沿った形で運用を行っていきましょうという趣旨のはず。

分かりやすい文章で伝えることも考えていただきたいです。

 

事例でみてみると、

機会:他業種から競合が業界に参入してきた

リスク:売上の減少に繋がる

 

機会:取引先から来年、仕事量を増やしても対応できるか口頭で話があった

リスク:売上の増加に繋がる

 

あれ?と思った方。

そう、リスクってマイナスの要素だけでなく、チャンスの面もあるのです。

 

プラスとマイナスのリスクと機会を集めることで、企業の経営にも大きく関わってきそうですね。

この辺りが改訂後の規格について、トップにもたらす影響が大きくなった部分ですね。

 

 

このリスク及び機会への取組みを、対策とその効果のフォローアップまで5W1Hでマネジメントレビューのインプット項目に追記したり、別途帳票を作成したりして対応すればいいわけですね。

このように細分化してとらえれば意外と難しくもなさそうではないですか?

 

また、弊社でもありがたいことに、規格改訂の書籍

【これ1冊でできる・わかる これ1冊でできるわかる ISO9001―やるべきこと、気をつけること  古江 一樹【監修】/ISO総合研究所【著】】

を出版させていただきました。

ご興味がございましたらお手に取っていただければ幸いです。

http://www.amazon.co.jp/dp/4860638514/

 

もし御社がISO9001、14001の規格改訂後の運用にお困りでしたり、27001、プライバシーマークの取得、運用についてお困りでしたらどうぞお気軽に弊社ISO総合研究所までご連絡ください。

 

ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」規程解釈

 

max16011508_TP_V

 

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの田牧です。

 

5月の連休を過ぎ、まだもう少し春を満喫したい!!

そんなことを思っていましたが、地球の温暖化なのか、夏まっしぐらな日々か続き、体調は崩されていませんでしょうか。

私事ではありますが、先日、子どもの運動会に参加してきました。

私の子供のころには、運動会と言えば「秋」の10月頃だったと記憶していますが、最近はこれくらいの時期に開催される学校も多いようですね。

元々は、夏の暑い時期に運動会の準備・練習・本番を迎えることでの参加者への負担を考慮したものだと聞いていますが、あまり変わらなくなってきました。

今週末にももう一度運動会があり、熱中症対策をしなければと、頭を悩ましています。

 

と、近況報告はこれくらいに、今回のテーマは『ISO27001:2013(ISMS):2013年度規格改訂 8.1項「運用の計画及び管理」について』です。

 

まずは、規格を確認して見ましょう。

 

JIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)では

8.1 運用の計画及び管理

組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2 項で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。

組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。

組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。

 

また、ここに出てきた6.1項及び6.2項も確認しておきます。

と思いましたが、かなりの長文となるのでどういった項番だったかというと

 

6.1 リスク及び機会に対処する活動

6.1.1 一般

6.1.2 情報セキュリティリスクアセスメント

6.1.3 情報セキュリティリスク対応

6.2 情報セキュリティ目的及びそれを達成するための計画策定

 

ということでした。やっぱり分かりづらいですね。

ですので、少しずつ紐解いていきましょう。まずは最初の一文です。

「組織は,情報セキュリティ要求事項を満たすため,及び6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。」

から見ていきましょう。

ここで求め求められているのは

情報セキュリティ要求事項を満たすために、項番6.1(=リスク及び機会に対する活動)で決定したことを計画して、実施し、管理すること。つまり、項番6.1では情報セキュリティリスクを認識し洗い出し、セキュリティ活動=目的(目標)を『計画』しましたが、今回はその『計画』を『実行』することが求められています。

よく言われるPDCAサイクルにおけるD=Doの部分が求められていることが読み取れます。

 

そして次に

「組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。」

『実行』されることが計画的にまた確実に行われるように、わかりやすく、明確なかたち、ここでは「文書化」と表現されていますが、記録を残すことが求められています。

 

そして

「組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。」

『実行』の内容については管理することで、その管理の中で変更があれば、見直し、修正、また必要な対応を求めています。

 

最後に

「組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。」

外部委託するものがあれば、そのプロセスを明確に、そのことを管理することを求められています。(このことは付属書AのA.15供給者関係に関連する部分ですので、今回は細かく触れませんが・・・)

改めで、簡単にこのJIS Q 27001:2014(ISO/IEC 27001:2013:ISMS)8.1 運用の計画及び管理についてまとめますと

6章にて目的(目標)の達成と課題解決のための計画(Plan)を実行(Do)することが求められ、その管理についての要求事項について記載があるということになります。

 

自分で記載していても、この辺りはわかりにくいと感じますね。(無理にそうしているのではありません。恐らく私の文才がただただないのだと思うのですが。

 

ということでISO27001:2013(ISMS)のご取得をご検討中で、本ブログを読まれ、少しでも「?」と思われるようなことがあれば、お気軽に弊社、ISO総合研究所までご連絡ください!!

ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの残田です。

 

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

」について書いていきたいと思います。

 

 

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

 

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) ISMS に関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

組織は,次に示す事項を行わなければならない。

  1. c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  2. d) 各監査について,監査基準及び監査範囲を明確にする。
  3. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. f) 監査の結果を関連する管理層に報告することを確実にする。
  5. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

 

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

 

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 品質マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 組織は,次に示す事項を行わなければならない。

  1. a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
  2. b) 各監査について,監査基準及び監査範囲を定める。
  3. c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  4. d) 監査の結果を関連する管理層に報告することを確実にする。
  5. e) 遅滞なく,適切な修正を行い,是正処置をとる。
  6. f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

 

 

 

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

 

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. a) 次の事項に適合している。

1) 環境マネジメントシステムに関して,組織自体が規定した要求事項

2) この規格の要求事項

  1. b) 有効に実施され,維持されている。

 

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。

内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。

組織は,次の事項を行わなければならない。

  1. a) 各監査について,監査基準及び監査範囲を明確にする。
  2. b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
  3. c) 監査の結果を関連する管理層に報告することを確実にする。

組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

 

 

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。

ここからは内容を細かく見ていきたいと思います。

 

>a) 次の事項に適合している。

>1) ISMS に関して,組織自体が規定した要求事項

>2) この規格の要求事項

→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。

2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

 

 

 

>b) 有効に実施され,維持されている。

→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

 

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

 

 

 

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。

→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

 

 

 

  1. d) 各監査について,監査基準及び監査範囲を明確にする。

→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

 

 

 

  1. e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。

→自分がしている仕事内容を監査することができません。

 

 

 

  1. f) 監査の結果を関連する管理層に報告することを確実にする。

→監査結果を関連部署の部門長等に報告する必要があります。

 

 

 

  1. g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

 

 

 

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。

自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

 

 

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。

2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

_shared_img_thumb_AL204_uwamedukai20140830153709_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」規格解釈

 

 

 

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

こんにちは。

ISO総合研究所コンサルタントの栗林です。

今回はISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」についてです。

先ずは規格を見てみましょう。

7.4 コミュニケーション 

組織は,次の事項を含め,ISMS(ISO27001:2013)に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。

b)コミュニケーションの実施時期

c)コミュニケーションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

ISO(アイエスオー)ではISO9001:2015(QMS)でもISO14001:2015(EMS)でもISO27001:2013(ISMS)でも”コミュニケーション”という言葉が登場します。

ISO9001:2015(QMS)では5.5.3、ISO14001:2015(EMS)では4.4.3項、ISO27001:2013(ISMS)では7.4項に登場します。

コミュニケーションときくと、ISO(アイエスオー)とは関係ないところでも

普段使われる単語の一つです。
ISO(アイエスオー)では違うことをさしているのではないかと考えがちですが、
基本的には普段使っているコミュニケーションと変わりません。

細かいことを言うと、ISO9001:2015(QMS)とISO14001:2015(EMS)のコミュニケーションでは
言われていることが少し異なります。
ですが、基本的な考え方は同じです。
社内の従業員同士、従業員と社長、事務員と現場の方、
営業と顧客、近隣住民の方、近隣の工場の方などなど…。
お仕事や周辺環境などによってコミュニケーションをとれる対象や、
とらなくてはいけない対象は変わってきます。
(ISO9001:2015(QMS)とISO14001:2015(EMS)でも要求されている対象がかわります)

これらの必要なコミュニケーションの手段を決めておいて、
適切に行いましょうというのが目的です。
ですので、10社ISO(アイエスオー)のISO9001:2015(QMS)やISO14001:2015(EMS)を運営管理していれば、
10社違う手段を用いているともいえます。
実施している内容を見れば、共通してやっていることも多々ありますが、
すべて同じことをしているというのは稀です。
様々な影響によりやり方もやらなくちゃいけないこともかわるということも、
その一つの要因です。

やらなくてはいけないことは必要な情報を共有する場を作る
ということです。
その必要な情報についても様々あるので一概にはいえませんが、
シンプルに言えば、社内外でのコミュニケーションを上手く取る
仕組みを決めておきましょうといったところでしょうか。

 

違う内容をもう一つ。

ISO(アイエスオー)の新規認証にかかる期間は、一般的には6ヶ月と言われます。

多くの会社で運用されているISO(アイエスオー)やPマーク(プライバシーマーク)の仕組は、非常に不合理なものです。

 

例えば、ISO9001:2015(QMS)では、10年前の大量生産・大量消費時代のころのしくみが、多品種小ロットが主流になった現在でもそのまま使われています。

 

ISO14001:2015(EMS)では、80年代の環境への負荷を考えずあらゆるものを「垂れ流していた時代」につくった環境影響評価等のしくみが、現在では様々な環境対策が整備されているにもかかわらず、まったく手を付けられずに残っている事実があります。

 

ISO27001:2013(ISMS)では、3ケ月あれば新しい情報ツールが出るこの時代に、10年前の情報リスク対策が、何も見直されずに継続して運用されています。

 

Pマーク(プライバシーマーク)でも、従業員が1万人クラスの超大手企業が10年前の構築したしくみを100人未満の企業がそのまま流用しています。

 

このような事実があります。

 

そして、恐ろしい事に、このような前時代的なしくみを新規認証にあたって、あらたに社内構築するところもあるのです。

 

それに対し、私たちはすでに会社の中にあるしくみを使って無理の無いようにISO(アイエスオー)の認証・運用をするスタンスです。

 

インターネット社会の普及により、様々な情報を入手できるようになった反面、情報の見極めも必要になってくるのではないのかと思います。

文書は、ISO(アイエスオー)に必要だから作るものではなく、本来『業務に必要だから作る』もの。ISO(アイエスオー)のために1から文書を作るのではなく、既存のマニュアルや作業手順をなるべく活用させ『今できること』から行うことで、『文書化』は楽になります。
『○○の仕事を□□さんが担当する』というのが本来の役割分担ですが、『□□さんに担当してもらう仕事は…○○にしよう』といった流れで業務が行われている会社があります。

また、『できる社員』『経験のある△△さん』がいる会社では、その人を中心に仕事がまわっていることもあります。

このような会社では、ISO(アイエスオー)を導入することでこれまでのやり方が崩れ、仕事がやりにくくなることもあります。

現状ではうまく仕事が流れているとしても、景気等の外的要因や、派遣社員、中途入社、早期退職者の増加などの内的要因によって、組織を取り巻く状況は刻々と変わります。誰がやっても同じ仕事ができるようにするため、業務の標準化を行っていきましょう。
リーダーが掲げた目的・目標が理想に走りすぎな(現実よりかけ離れている)場合、既存業務とのギャップが生じ業務に影響が出ることもあります。

ISO(アイエスオー)で高い目標を掲げても、実際には実現不可能で、逆にやる気を失ってしまった、というケースも見られます。

目標を立てる際は、会社の技術上の選択肢、財政上の諸事情を配慮した上で、理念に沿った具体的目標を立てていきましょう。

ISO(アイエスオー)を構築した最初の年は、結果を出そうと必死になる必要はありません。『認証取得』という結果だけで充分です。肝心なのは、『継続的改善』です。C(内部監査等)やA(レビュー、改善)を続けていくことで、少しずつ効果が出ていくということを認識しておきましょう。

これからのISO(アイエスオー)との付き合い方は近年、ISO(アイエスオー)が経営寄りに変わってきている中で、使い方に違いがでてきています。
具体的に説明するとISO(アイエスオー)の認証維持する目的が90年代に流行った品質保証を目的としたものから実務を活かして負担をできるだけかけずに認証維持する考えに変わってきました。

品質保証を目的においていた時代は、すべての文書や記録に対して、本当にそれで問題がないのか保証する必要がありました。
そのため、なんでも手順書を作って、ルールで縛り、現場で使っている文書や記録を保証する文書や記録まで二重に作っており負担が大きくなっておりました。その結果、ISO(アイエスオー)用の活動が増え、資料もキングサイズのファイルが10個以上並び膨大に膨れ上がります。

負担をかけて、本来の業務が圧迫されることは経営の観点からも望ましいものではございません。
そのような現状から認証を辞退する組織も続出したため、審査機関の考え方も変化し、
近年は負担をかけず実務を活かしてマネジメントシステムを構築することを推奨している審査機関が増えてきております。

製造業界や建設業界等で根強くISO(アイエスオー)認証しているかどうかが、経営に大きく関わる組織はできるだけ負担がかからず、実務をしていれば認証維持できる審査機関を選び、ISO(アイエスオー)用に二重になっている無駄な仕組みは整理していくことがうまく付き合っていくコツになっています。

 

再度言います、ISO(アイエスオー)を取得しようとして手間が増えるという事はありません。

私たちはすでに会社の中にあるしくみを使ってムリの無いようにISO(アイエスオー)の認証・運用をするスタンスです。

ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」規格解釈

OZPAyatta_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの小嶋と申します。

 

今回は…

 

「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

 

では、はじめに6.2項の要求事項には何が書かれているのでしょうか?

「組織は、関係する組織の機能や階層で、情報セキュリティ目的を定めなければならない。

情報セキュリティ目的は、次の事を満たさなければならない。」

a) 情報セキュリティ方針と一致している

b) 測定可能である(但し、実行可能な場合)

c) 適用可能な情報セキュリティの要求事項、リスクアセスメント及びリスク対応の結果を考慮している

d) 適切に(必要に応じて)伝達する

e) 適切に(必要に応じて)更新する

組織は、情報セキュリティ目的を”文書化された情報”として保持しなければならない。

組織は、情報セキュリティ目的の達成方法を計画する際、次の事を決めなければならない。

f) 実施すべき事

g) 必要な資源

h) 責任者

i) 達成期限

j) 結果の評価方法

 

概略としては

関連する部門及び階層において、情報セキュリティ目的を確立し、それらを達成するための計画を策定するという事です。

 

要求事項のポイントとしては

 ① a)~e)を満たす情報セキュリティにおいて達成するための目的を定める。

 ② f)~j)を満たす情報セキュリティ目的を達成するための実施計画を策定する。

 ③ これらの情報セキュリティ目的及びその達成に向けての活動及びその結果は、文書化した情報を保持する。

 

 

その他のポイント

 ① 情報セキュリティ方針と整合した情報セキュリティ目的を決定していること。

 ② 目的は達成度の判定が可能なこと。

 ③ 目的は、情報セキュリティ要求事項、リスクアセスメント、リスク対応結果を考慮し

ていること。

 ④ 関係者に伝達していること。

 ⑤ 事業環境の変化、組織形態の変更及び情報セキュリティインシデントの発生があった

場合は、見直し、更新していること。

⑥ 目的を達成するための計画を策定していること。

⑦ 計画には次の事項を含めていること。

実施事項、必要資源、責任者、達成期限、結果の評価方法

 

ここでの項でまず「目的」という言葉の意味を考えましょう。

【目的(objective)】とは達成すべき結果。

注記 1 目的は、戦略的、戦術的又は運用的である。

注記 2 目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。

注記 3 目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。

同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すことも

できる。

注記 4  情報セキュリティマネジメントシステム(ISMS)の場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。

 

という事です。

つまり、情報セキュリティの目的を達成する為に実施をする要項をまとめれば良いのです。

 

トップマネジメントのリーダシップの下、推進される計画です。組織の戦略に情報セキュリティを組み込み、方針展開させ、PDCAを完結する流れになります。

2章の「ISMSの目的がより鮮明に・・・②」の解説及び3章の「用語の解説3.08 目的」を参照し、リスクアプローチとの違いを理解してください。

情報セキュリティの目的は何をしたら良いのかという疑問が出てくるかと思います。

例を出してみましょう。

例えば、セキュリティ事故が起きないことは大前提の目的であると位置づけ、それを達成するプロセスを、具体的なToDoに落とし込むことです。例えば「セキュリティインシデントを3件以下」「事故ゼロを達成する為に、当社のセキュリティ弱点の強化につながる教育を計画して、全社員に対して実施する」等という感じで目的を作成すると考えやすくなるでしょう。

 

その後その目的に対するf) 実施すべき事 g) 必要な資源 h) 責任者 i) 達成期限

j) 結果の評価方法を盛り込んだような様式で管理をすることが望ましいでしょう。

 

 

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

 

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

 

話が長くなりました…

それでは、今回は「ISO27001:2013(ISMS):2013年度規格改訂 6.2項「情報セキュリティ目的及びそれを達成するための計画策定」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

ISO27001:2013(ISMS):2013年度規格改訂 7.1項「資源」規格解釈

 

OOK8963_tobidase_TP_V

 

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの久米です。

今回は

『ISO27001:2013年度規格改訂 7.1項「資源」について』

をお伝えしたいと思います。

 

まず、規格要求事項には

『組織は、 ISMSの確立、 実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。』と書かれています。

 

さてさて、なんのことかな??

どういう意味??

とりあえず、どうすればいいの??

との言葉が聞こえてきそうです。

 

上記の解説をさせていただきますと・・・。

 

資源の決定、提供については、リーダシップ(5.1項 c, e, f, g, h)の要求事項を念頭に、進めなければなりません。

資源は、ただ導入し、提供し、あとは良きに計らえ、では効果を生みません。

導入計画はあるが先に進まないケースをよく目にします。

利用可能な状態に整え、関係するリスクのオーナーに意図した成果を伝え、指揮し、管理層がリーダシップを発揮するなど、それを生かす計画が重要です。

 

5.1項のc), e), f), g), h)の要求事項とは

下記に記します!!

c)ISMSに必要な資源を利用可能にする

e)ISMSが意図した成果を達成することを確実にする

f) ISMSの有効性に貢献するように、人を指揮して支援する

g)継続的改善を促進する

h)関連する管理層がその責任の下、リーダシップを発揮できるよう管理層の役割を支援する

 

ふむふむ!!

じゃあ、具体的には??

何を資産(情報)というのですか??

 

・情報/データ(例えば、支払いの詳細を含んだファイル、製品情報など)

・ハードウェア(例えば、コンピュータ、プリンタなど)

・アプリケーショ運を含むソフトウェア(例えば、テキスト処理プログラム、特別の目的のための開発されたプログラムなど)

・通信設備(例えば、電話、銅線、ファイバーなど)

・ファームウェア(例えば、フロッピーディスク、CD-ROM、PROMなど)

・文書(例えば、契約書など)

・資金(例えば、ATMなど)

・製造物

・サービス(例えば、情報サービス、計算資源など)

・サービスの信頼と信用(例えば、支払いサービスなど)

・環境設備

・要員

・組織のイメージ

 

上記のような項目を自社の重要な(情報)資産ととらえ

漏れ無くリストアップしていきます。

 

※”管理責任者”、”利用範囲”、”分類”なども含めてリストアップすると良いでしょう。

※”管理責任者”は、個人名でなくても役職名でも構いませんし、また、グループ(部課名)でも構いません。(JIS Q 27001解説)

※”利用範囲”は、”場所”の概念と、”業務”の概念があるでしょう。

※”分類”については、その分類体系を定めておく必要がありますが、リスクアセスメントの項で示す、”機密性、完全性、可用性の喪失がそれらの(情報)資産に及ぼす影響”などを対応させることが考えられます。

 

すべての(情報)資産の洗い出しを終えたら、その中から、重要な(情報)資産の目録を作成(文書化)することになりますが、「重要な(情報)資産」は前述の”分類”によって抽出できるでしょう。

 

<注意>

規格の1.適用範囲 1.1一般では、

「ISMSは、情報資産を保護し、また、利害関係者に信頼を与えるために設計される。」と言った旨が記載されているものの、実は、規格の中では、「情報資産(information assets)」とはあまり記述されていません。(見逃していたら済みません。)

規格要求事項の中では、殆どが資産(定義:組織にとって価値のあるもの)として記載されていることに注意が必要です。情報は資産に属する一要素というわけです。

「ISMSは、情報及び情報処理施設と関連する資産(情報資産)を保護する」と解釈しても問題ないであろうと判断し、「情報資産=組織にとって価値のある情報及び情報処理施設と関連する資産」と定義して、規格中の「資産」=「情報資産」として扱っています。実際、様々な解説書等で「情報資産」として扱われています。とりあえずここでは、「(情報)資産」として表しております。

あくまでも、弊社の解釈であり、全ての審査機関・審査員が同様の解釈をすると限りませんのでご注意ください。

 

長々とお話をさせて頂きましたが、いかがでしたでしょうか??

なんとなくでもわかって頂けましたでしょうか??

まだ、よくわからない!!

わかったけど本当はどうなの??と思った方は

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからISO27001(ISMS)取得を検討している。

・ISO27001(ISMS)を取得したけど、運用がうまくいかない。

・ISO27001(ISMS)を取得したけど、今後どうしたらいいのかがわからない。

・ISO27001(ISMS)の審査機関変えたいんだけど、どうしよう??

などなど、一人で、自社だけでどうすればいいのかお考えでしたら

弊社は、現在、約1,500社様以上のサポートをさせて頂いております。

豊富な実績で精一杯サポートさせていただきます。