2013年度規格改訂 ISO27001:2013(ISMS)の継続的改善ってなんですか?

_shared_img_thumb_AL204_uwamedukai20140830153709_TP_V

 

 

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの佐藤です。

 

そろそろ梅雨の季節ですね。

 

雨がザーザーな時期です。

洗濯物は外で干せないし、外に出かければクツは濡れてぐしゃぐしゃになってしまいます。

私の主観で言ってしまうと梅雨が好きな人、楽しんでいる人はあまりいないんじゃないかなーと思っています。

ちなみに私もそこまで梅雨は好きじゃありません(笑)

天然パーマなので梅雨の時期はいつも髪の毛がすごいことになっていることが多かったことが原因ですが(笑)

 

 

それでも子供の頃は雨の日を楽しんでいたように感じます。

新しい雨具を買った時は、雨具を早く使ってみたくて雨が降って欲しいとすら思ってましたし、雨が降ってる中でもお構いなしに無邪気に友達を走り回っていたりと、子供なりに楽しんでいました。

 

 

大人になるにつれて雨を楽しめなくなってきましたが、それも寂しいので雨を楽しめる方法を探してみようと思います。

なにかアイデアがありましたら、ぜひお知らせください(笑)

 

 

 

それはさておき、今回はISO27001:2013(ISMS)の「10.2 継続的改善」について書かせていただきます。

 

 

この継続的改善ですが、なんとなくイメージできるのは字のごとく継続的に改善していくことなんだろうなーということですね。

では、規格自体ではなんといっているのでしょうか?

 

 

10.2 継続的改善

組織は,ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。

(JIS Q 27001:2014 10.2 継続的改善 より引用)

 

 

ふむふむ、ISMSの適切性妥当性及び有効性を継続的に改善すればいいんですね!!

 

ふわっとしすぎです。ふわふわ時間ですね。

相変わらずISO(アイエスオー)の規格の条文は分かりづらいですね。

もしかしたら理解できない私の頭が残念なだけかもしれませんが・・・(笑)

 

 

それでは、規格が言っている継続的改善とはどういう意味なのでしょう。

ISO27000:2013(ISMS)で定義されている継続的改善は下記となります。

 

 

 

2.15 継続的改善

パフォーマンス(2.59)を向上するために繰り返し行われる活動。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

 

新たにパフォーマンスなんて言葉も出てきてしまいました。

ついでに一緒に調べてみましょう。

 

 

 

2.59 パフォーマンス

測定可能な結果。

(JIS Q 27001:2014 2 用語及び定義 より引用)

 

 

なるほどなるほど・・・

上記を組み合わせてみると、「継続的改善」とは、

 

 

『測定可能な結果を向上するために繰り返し行われる活動』

 

 

となるようです。

つまり、ISO27001:2013(ISMS)が言っている継続的改善とは、

 

 

「組織は,ISMSの適切性、妥当性及び有効性について、測定可能な結果を向上するために繰り返し行われる活動しなければならない。」

 

 

となります。

ISO27001:2013(ISMS)では、継続的に改善するものは測定可能なものでないといけないということですね。

でもまだまだ分かりづらいですね(笑)

 

 

 

では、細かく見ていきましょう。

まず、適切性という言葉からです。

つまり、ISO27001:2013(ISMS)がそれぞれの組織、会社の方針や目的にそった状態になっているか、適切か?というものです。

 

ISO27001:2013(ISMS)を構築しても、組織の方針や目的に当てはまっていなければ意味がありません。

 

 

例えば、10人規模の組織で1000人規模のマネジメントシステムを構築し運用していては、その組織に適していないマネジメントシステムと言えます。

 

 

次は妥当性についてです。

 

 

妥当性については、ISO27001:2013(ISMS)の要求事項を組織のマネジメントシステムが満たしているかなどがあげられます。

 

 

極端ですが、内部監査やマネジメントレビューのルールがない、文書化した情報を保持していないなどです。

 

 

それでは、最後に有効性についてです。

 

 

 

有効性とは、計画した活動が実行され、計画した結果がどれくらい達成したか、ということです。

 

 

例えば、情報セキュリティ目的を達成するために計画した行動目標がどれくらい達成できたのか、

情報セキュリティリスクアセスメントの結果、リスクへの対応を行うと決めた活動がどれくらい達成できたのか、

ということになります。

 

 

また、「10.1 不適合及び是正処置」で実施するような、不適合が減少するようなことなども有効性の改善に当たります。

 

 

上記の適切性、妥当性、有効性をそれぞれの視点でISO27001:2013(ISMS)の改善を行っていくことが継続的改善となります。

 

 

 

どうでしたでしょうか?

ISO27001:2013(ISMS)の10.2 継続的改善についてご理解いただけましたでしょうか。

 

 

いろいろ書きすぎて分かりづらくなっているかもしれません(笑)

佐藤流に簡単に言ってしまうと、継続的改善とは、

 

 

 

『継続的に組織(会社など)の仕組みを良くしてくために行っていく活動』

 

 

 

ということでしょうか。

簡単に書きすぎかもですね(笑)

 

 

継続的改善以外にも、ISO27001:2013(ISMS)について不明な点がございましたら、弊社コンサルタントにお気軽にお問い合わせください。

佐藤以上に適切な説明をしてくれる人間が多数いますので!!(笑)

 

 

 

それでは、最後までご覧いただきありがとうございました。

梅雨に負けないように頑張りましょう!!

ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈

COW121004713_TP_V

 

 

 

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの鈴木と申します。

 

さて、今回は「ISO27001:2013(ISMS):2013年度規格改訂 10.1項「不適合及び是正処置」規格解釈」というテーマで書かせていただきます!

ISO27001(ISMS):2013年版なんて今さらだと感じる方はいると思いますが、今回ISO9001:2015(QMS)、ISO14001:2015(EMS)も2015年版が出て規格改定を始めている方も多いと思いますので、書かせていただきます!

ISO27001(ISMS):2013年版、ISO9001(QMS):2015年版、ISO14001(EMS):2015年版での要求事項の項番が統一されているので、少しは役に立つと思います。

 

まずはISO27001(ISMS):2005年版とISO27001(ISMS):2013年版の要求事項に書かれている部分を見てみましょう。

 

□ISO27001(ISMS):2005版

8 ISMS の改善

8.1 継続的改善

組織は,情報セキュリティの基本方針及び目的,監査結果,監視した事象の分析,是正及び予防の処置,並びにマネジメントレビューを利用して,ISMS の有効性を継続的に改善しなければならない。

8.2 是正処置

組織は,ISMS の要求事項に対する不適合の原因を除去する処置を,その再発防止のためにとらなければならない。是正処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 不適合の特定
  2. b) 不適合の原因の決定
  3. c) 不適合の再発防止を確実にするための処置の必要性の評価
  4. d) 必要な是正処置の決定及び実施
  5. e) とった処置の結果の記録(3.3 参照)
  6. f) とった是正処置のレビュー

8.3 予防処置

組織は,ISMS の要求事項に対する不適合の発生を防止するために,起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は,起こり得る問題の影響に見合ったものでなければならない。予防処置のために文書化された手順の中で,次のための要求事項を定義しなければならない。

  1. a) 起こり得る不適合及びその原因の特定
  2. b) 不適合の発生を予防するための処置の必要性の評価
  3. c) 必要な予防処置の決定及び実施
  4. d) とった処置の結果の記録(3.3 参照)
  5. e) とった予防処置のレビュー

組織は,変化したリスクを特定し,大きく変化したリスクに注意を向けて,予防処置についての要求事項を特定しなければならない。

予防処置の優先順位は,リスクアセスメントの結果に基づいて決定しなければならない。

注記 不適合を予防するための処置は,多くの場合,是正処置よりも費用対効果が大きい。

 

 

□IS027001(ISMS):2013版

10 改善

10.1 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わなければならない。

  1. a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。

1) その不適合を管理し,修正するための処置をとる。

2) その不適合によって起こった結果に対処する。

  1. b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。

1) その不適合をレビューする。

2) その不適合の原因を明確にする。

3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。

  1. c) 必要な処置を実施する。
  2. d) とった全ての是正処置の有効性をレビューする。
  3. e) 必要な場合には,ISMS の変更を行う。

是正処置は,検出された不適合のもつ影響に応じたものでなければならない。

組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。

  1. f) 不適合の性質及びとった処置
  2. g) 是正処置の結果

 

 

 

 

 

はい、それでは項番の解説をしていきます!!!

 

■解釈のポイント

要約すると、

・不適合が起きた場合は管理して修正するための処置をとり、不適合によっておこった結果に対処する。

・その不適合の再発防止のため、不適合をレビューし、原因を明確にし、似たようなケースがないか、又は想定されないかを明確にし、原因除去のための処置を取る必要があるのか、必要性を評価する。

・必要な処置を実施、その(不適合のもと影響も著しさに応じた)是正処置がいかに有効であったか、有効性をレビューし、それにより必要が発生した場合は、環境マネジメントシステムの変更も行う。

・不適合の性質及びそれに対してとった処置、是正処置の結果を文書化し、保持する

 

上記を実施すれば、この10.1項「不適合及び是正処置」の要求事項に関しては満たされます。

 

〇旧規格との違い

ISO27001(ISMS):2005年版には、修正するための処置はありませんでしたが、ISO27001(ISMS):2013年版の規格から修正するための処置の要求事項が追加されています。

また、逆になくなった点として、予防処置の要求事項がなくなりました。

 

 

今回はISO27001(ISMS):2013年版10.1項「不適合及び是正処置」規格解釈というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

 

また、ISO(アイエスオー)を新規取得したい、またはISO(アイエスオー)のための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

 

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

ISO27001:2013(ISMS):2013年度規格改訂 7.1項「資源」規格解釈

 

OOK8963_tobidase_TP_V

 

 

ご愛読者の皆様、いつもありがとうございます。

また、初めての方も、ありがとうございます。

ISO総合研究所コンサルタントの久米です。

今回は

『ISO27001:2013年度規格改訂 7.1項「資源」について』

をお伝えしたいと思います。

 

まず、規格要求事項には

『組織は、 ISMSの確立、 実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。』と書かれています。

 

さてさて、なんのことかな??

どういう意味??

とりあえず、どうすればいいの??

との言葉が聞こえてきそうです。

 

上記の解説をさせていただきますと・・・。

 

資源の決定、提供については、リーダシップ(5.1項 c, e, f, g, h)の要求事項を念頭に、進めなければなりません。

資源は、ただ導入し、提供し、あとは良きに計らえ、では効果を生みません。

導入計画はあるが先に進まないケースをよく目にします。

利用可能な状態に整え、関係するリスクのオーナーに意図した成果を伝え、指揮し、管理層がリーダシップを発揮するなど、それを生かす計画が重要です。

 

5.1項のc), e), f), g), h)の要求事項とは

下記に記します!!

c)ISMSに必要な資源を利用可能にする

e)ISMSが意図した成果を達成することを確実にする

f) ISMSの有効性に貢献するように、人を指揮して支援する

g)継続的改善を促進する

h)関連する管理層がその責任の下、リーダシップを発揮できるよう管理層の役割を支援する

 

ふむふむ!!

じゃあ、具体的には??

何を資産(情報)というのですか??

 

・情報/データ(例えば、支払いの詳細を含んだファイル、製品情報など)

・ハードウェア(例えば、コンピュータ、プリンタなど)

・アプリケーショ運を含むソフトウェア(例えば、テキスト処理プログラム、特別の目的のための開発されたプログラムなど)

・通信設備(例えば、電話、銅線、ファイバーなど)

・ファームウェア(例えば、フロッピーディスク、CD-ROM、PROMなど)

・文書(例えば、契約書など)

・資金(例えば、ATMなど)

・製造物

・サービス(例えば、情報サービス、計算資源など)

・サービスの信頼と信用(例えば、支払いサービスなど)

・環境設備

・要員

・組織のイメージ

 

上記のような項目を自社の重要な(情報)資産ととらえ

漏れ無くリストアップしていきます。

 

※”管理責任者”、”利用範囲”、”分類”なども含めてリストアップすると良いでしょう。

※”管理責任者”は、個人名でなくても役職名でも構いませんし、また、グループ(部課名)でも構いません。(JIS Q 27001解説)

※”利用範囲”は、”場所”の概念と、”業務”の概念があるでしょう。

※”分類”については、その分類体系を定めておく必要がありますが、リスクアセスメントの項で示す、”機密性、完全性、可用性の喪失がそれらの(情報)資産に及ぼす影響”などを対応させることが考えられます。

 

すべての(情報)資産の洗い出しを終えたら、その中から、重要な(情報)資産の目録を作成(文書化)することになりますが、「重要な(情報)資産」は前述の”分類”によって抽出できるでしょう。

 

<注意>

規格の1.適用範囲 1.1一般では、

「ISMSは、情報資産を保護し、また、利害関係者に信頼を与えるために設計される。」と言った旨が記載されているものの、実は、規格の中では、「情報資産(information assets)」とはあまり記述されていません。(見逃していたら済みません。)

規格要求事項の中では、殆どが資産(定義:組織にとって価値のあるもの)として記載されていることに注意が必要です。情報は資産に属する一要素というわけです。

「ISMSは、情報及び情報処理施設と関連する資産(情報資産)を保護する」と解釈しても問題ないであろうと判断し、「情報資産=組織にとって価値のある情報及び情報処理施設と関連する資産」と定義して、規格中の「資産」=「情報資産」として扱っています。実際、様々な解説書等で「情報資産」として扱われています。とりあえずここでは、「(情報)資産」として表しております。

あくまでも、弊社の解釈であり、全ての審査機関・審査員が同様の解釈をすると限りませんのでご注意ください。

 

長々とお話をさせて頂きましたが、いかがでしたでしょうか??

なんとなくでもわかって頂けましたでしょうか??

まだ、よくわからない!!

わかったけど本当はどうなの??と思った方は

1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからISO27001(ISMS)取得を検討している。

・ISO27001(ISMS)を取得したけど、運用がうまくいかない。

・ISO27001(ISMS)を取得したけど、今後どうしたらいいのかがわからない。

・ISO27001(ISMS)の審査機関変えたいんだけど、どうしよう??

などなど、一人で、自社だけでどうすればいいのかお考えでしたら

弊社は、現在、約1,500社様以上のサポートをさせて頂いております。

豊富な実績で精一杯サポートさせていただきます。

 

「ISO9001:2015(QMS):2015年度規格改訂 4.1項「組織及びその状況の理解」規格解釈:建設業の運用事例」

-shared-img-thumb-BL004-chiisanayoukyuu20140810_TP_V

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの中本郁也です。

 

それでは、今回のテーマISO 9001(QMS):2015年度規格改訂4.1項「組織及びその状況の理解」規格解釈:建設業の運用事例についてご紹介致します。

ますは今回のJIS Q 9001:2015の4.1項「組織及びその状況の理解について該当する要求事項を見てみましょう。

────────────────────────

4 組織の状況

4.1 組織及びその状況の理解

組織は組織の目的及び戦略的な方向性に関連し、かつ、その品質マネジメントシステムの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を明確にしなければならない。

組織は、これらの外部及び内部の課題に関する情報を監視し、レビューしなければならない。

注記1 課題には、検討の対象となる、好ましい要因又は状態、及び好ましくない要因又は状態が含まれ得る。

注記2 外部の状況の理解は、国際、国内、地方又は地域を問わず、法令、技術、競争、市場、文化、社会及び経済の環境から生じる課題を検討する事によって容易になり得る。

注記3 内部の状況の理解は、組織の価値観、文化、知識及びパフォーマンスに関する課題を検討することによって容易になり得る。

────────────────────────

 

ここでの解説として、「経営環境や経営課題を踏まえた上で、品質マネジメントシステムを作って、運用してね」という内容になります。

外部及び内部の課題とは、「競合他社があんな商品を出した」、「現在、新しい機能がついた商品が流行っている」、「今後、補助金が付いた制度ができるそうだ」、「来年は多くのベテランが退職予定だ」、「工場の設備が老朽化している」、「営業社員が少なく、外部へのアピールが不足している」等、多くの大企業、中小企業含む企業全体が持つ外部、内部への課題についてのことです。

 

 

つまり、社内の経営者会議や、部課長会議の議題であがる話題であり、これらは経営計画や事業計画、実行計画の内容として盛り込まれている内容の1つでもあります。

なので特に新しいことをする必要がほとんどないんですね。

ほとんどの企業で既にやられていることの1つなのですから。

 

 

規格要求事項で記載されている‘決定’、‘監視’、‘レビュー’なんて言われると、台帳や記録をこしらえてそこに内外の課題を登録して定期的に見直しをしないといけないんだろうか??と思う方もいるかもしれません。

しかし、早まらないでくださいね。ここでの規格要求事項には文書化、記録化の要求はございません。普段の日常で考えられている外部・内部の課題を把握しておいてくださいねという内容がここでは記載されています。

 

 

では、建設業の運用を例に少し事例をご紹介したいと思います。

 

建設業(15名の施工管理に主を置く業者の事例)

 

外部環境の強み(組織にとって機会(チャンス)は何か)

国からの助成金の増加により社内教育が充実。

 

外部環境の弱み(組織にとっての脅威は何か)

国交省の仕事を中心に予定価格の低迷。

 

内部環境の強み(組織の強みは何か)

スキルアップ(資格、外部講習)。

 

内部環境の弱み(組織の弱みは何か)

慢性的な人材不足(特に若手社員不足、ベテラン社員の定年退職等)

 

建設業では、上記のような課題を上げることができる。

では、上記を把握してどのようにするのか?

上記では、現在の建設業における外部・内部の強みと課題を現状把握できた。

そこで次は戦略の確立だ。企業力を向上する有効な手段は、一つひとつの業務を効率化し、効果を最大化することである。そしてその業務改革をするために最適な意思決定を下すことである。ここでは、現状を把握した上で「結果に基づいて最適な行動まで結びつける力」である。

 

 

ISO9001:2015の4.1 組織及びその状況の理解で把握した自社の外部・内部の強みと課題を最適な行動に結びつけるようにしていく必要がある。

 

ステップ1 目的を明確にし、データ分析の指標を設定する。

ステップ2 データを収集し、加工する。

ステップ3 出てきた事実を基に現状の課題、原因を深く掘り下げて追及する。

ステップ4 課題・原因に対して、対策を実施する。

 

上記のようなステップをISOのマネジメントシステムで求めている。

自社の外部・内部の強みと課題を把握するだけでは何も変わらないというわけです。

強み、課題を把握した上で、どのようにPDCAを回して運用していくかが重要なんです。

 

今回のISOの規格改訂でより現実、実務に近い形でISOを運用できるようになると言われていますが、企業としてトップが自社の現状把握ができていることがまず一番の重要なこととなります。形骸しないような仕組みを作るというよりは、自社の経営活動をどのように促進していくか考えていくことがISOにつながるかもしれませんね。

 

本日はここまでです。又、次回のブログでお会いしましょう!!

 

 

 

ISO27001:2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」規格解釈

20130321-P3210210_TP_V
今回のブログでは、
ISO27001:2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」の規格解釈について書かせていただきます。

内容としては、
大きく下記の3つの項目をご説明させていただきます。

 1.ISO27001:2006年版と、ISO27001:2013年版の対比
 2.ISO27001:2013年版で明確にされたこと
 3.ISO27001:2006年版から、ISO27001:2013年版に移行するにあたって確認すべきこと

~~~~~~~~~~~~~~~~~~~~~~~~
 1.ISO27001:2006年版と、ISO27001:2013年版の対比

 まずは、ISO27001:2006年版と、ISO27001:2013年版の対比からみていきましょう。

 ISO27001:2006年版における構成は下記の通りです。
 4 情報セキュリティマネジメントシステム
  4.1 一般要求事項

 ISO27001:2013年版における構成は下記の通りです。
 4.4 情報セキュリティマネジメントシステム

 上記のように、
章の構成は変わっていますが、
大きな要素としては変わっていないことが分かります。

~~~~~~~~~~~~~~~~~~~~~~~~
2.ISO27001:2013年版で明確にされたこと

次に、ISO27001:2013年版で明確にされたことをみていきましょう。

ISO27001:2006年版における4.1項「一般要求事項」の記述は下記の通りです。
「組織は、その組織の事業活動全般及び直面するリスクに対する考慮のもとで、文書化したISMS を確立、
導入、運用、監視、レビュー、維持及び改善しなければならない。」

ISO27001:2013年版における4.4項「情報セキュリティマネジメントシステム」の記述は下記の通りです。
「組織は、この規格の要求事項に従って、ISMS を確立し、実施し、維持し、かつ、継続的に改善しなけ
ればならない。」

一見して分かることは、2006年版では「その組織の事業活動全般及び直面するリスクに対する考慮のもとで」という表記がありましたが、2013年版では、これら考慮すべき事項が4.1項から4.3項にてより明確化されました。

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、この4.1項から4.3項をどう明確化するか、その方法を模索していらっしゃるところですね。組織によっては、SWOT分析をおこない、その結果報告をなさっているところもありますし、組織ごとの指標をもとに、定期的に報告をしている組織もあります。この点に関しては、経営層がどのような指標をもとに経営的なご判断をなされているのかを洗い出してみるのがよさそうです。

~~~~~~~~~~~~~~~~~~~~~~~~
3.ISO27001:2006年版から、ISO27001:2013年版に移行するにあたって確認すべきこと

最後に、ISO27001:2006年版から、ISO27001:2013年版に移行するにあたって確認すべきことを考えていきます。

私たちコンサルタントは、
様々な業種・業態の組織様のお手伝いをさせていただく中で、
役得と言いますか、様々な形・内容の「マネジメントレビュー」を拝見させていただいております。
その中で感じることは、
情報セキュリティマネジメントシステムに関連する外部及び内部の課題の変化 や、組織及びその状況の理解、利害関係者のニーズ及び期待の理解というのは、
「マネジメントレビュー」において、明確になっていることか多かったように思われます。

それから、これまでは、いわゆる「マネジメントレビュー」にて報告や指示がなされていた以外にも、
日常のコミュニケーション(例えば、経営会議、幹部会議、営業会議、等)にて、該当する項目の報告および指示がなされていないかを探してみてください。おそらくは、「マネジメントレビュー」という形を取らずしても、要求事項を満たすような定期的なイベントが実施されているのではないでしょうか。

忘れてはいけないのは、マネジメントレビューを実施した結果の、文書化された情報が保持されているかです。

上記のような点にフォーカスをあてて、
貴社の情報セキュリティマネジメントシステムが整っているか、見てみてはいかがでしょうか。

ISO(アイエスオー)14001:2015年度版の「8.1 運用の計画及び管理」について

_shared_img_thumb_max16011528-2_TP_V

 

 

こんにちは!!

さて、今日はISO(アイエスオー)14001:2015年度版の「8.1 運用の計画及び管理」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

ISO(アイエスオー)14001:2015年度版

8 運用

8.1 運用の計画及び管理

 

組織は,次に示す事項の実施によって,環境マネジメントシステム要求事項を満たすため,並びに6.1

及び6.2 で特定した取組みを実施するために必要なプロセスを確立し,実施し,管理し,かつ,維持しな

ければならない。

- プロセスに関する運用基準の設定

- その運用基準に従った,プロセスの管理の実施

 

注記 管理は,工学的な管理及び手順を含み得る。管理は,優先順位(例えば,除去,代替,管理的

な対策)に従って実施されることもあり,また,個別に又は組み合わせて用いられることもあ

る。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有

害な影響を緩和する処置をとらなければならない。

組織は,外部委託したプロセスが管理されている又は影響を及ぼされていることを確実にしなければな

らない。これらのプロセスに適用される,管理する又は影響を及ぼす方式及び程度は,環境マネジメント

システムの中で定めなければならない。

 

ライフサイクルの視点に従って,組織は,次の事項を行わなければならない。

  1. a) 必要に応じて,ライフサイクルの各段階を考慮して,製品又はサービスの設計及び開発プロセスにお

いて,環境上の要求事項が取り組まれていることを確実にするために,管理を確立する。

  1. b) 必要に応じて,製品及びサービスの調達に関する環境上の要求事項を決定する。
  2. c) 請負者を含む外部提供者に対して,関連する環境上の要求事項を伝達する。
  3. d) 製品及びサービスの輸送又は配送(提供),使用,使用後の処理及び最終処分に伴う潜在的な著しい環

境影響に関する情報を提供する必要性について考慮する。

組織は,プロセスが計画どおりに実施されたという確信をもつために必要な程度の,文書化した情報を

維持しなければならない。

規格の用語が含まれて説明されていてわかりにくいですね。

解釈のポイントは「環境目標」「順守義務」「環境側面の特定」「リスク及び機会への対応」

を通して、対策をうっていくことがみえたものに対して、誰が、いつ、何を、どこでやるのかというプロセスを決めて、

実施していこうという内容です。

具体的な事例はどういったものになるのでしょうか?

例えば、「リスク及び機会への対応」で「原材料費の高騰」という事象があったとして、これは業界全体のことでライバルも同じで、

今後の動きから「好ましくないリスク」といえそうです。これを受け、製造原価の考慮とライバルとの差別化を考え、「新素材の導入」を

決めたとして、製品が落ち着くまで不良率の発生が増えるとして、これを環境側面やリスク及び機会の観点からも課題として捉え、

会社として対策を言っていこうと決めた際に、運用の計画と管理をすることになります。

誰が、いつ、どのようにといった対策に向けたプロセスをつくる際に、同じように明確にしておく必要があるのが運用基準です。

例えば、40度を超えるとダメというような数字的な要素が一番わかりやすいですが、行動として「何をしなければならないか、

何をしてはいけないか」というのを決めるのも基準となります。

 

取り組みをする場合に、必要な活動や作業を外部にアウトソースする場合、そのプロセスが確実に実行されるような管理方法を決めたり、

影響が及ぼされるような行動を決めたりということが必要になります。

どちらにしても、行動をコントールしていけることが重要です。

 

ISO(アイエスオー)14001:2004年版との違いはインプットする内容が変わっているだけです。

運用するプロセスをつくる際には、製品がどういう流れでつくられ提供されるのか、

また引き渡した後どうなるのかといったライフサイクルの視点で影響を考えてルールを考えていきましょう。

 

いかがだったでしょうか?

 

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO(アイエスオー)総合研究所にお問い合わせ下さい!

 

 

 

ISO27001:2015年度規格改訂3項 「用語及び定義」規格解釈について

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

 

 

いつもご愛読いただき、誠にありがとうございます。ISO総合研究所コンサルタントの小嶋です。今回はISO27001:2015年度規格改訂3項「用語及び定義」規格解釈に

ついてのテーマでお送りさせて頂きます。

 

ISO27001:2015年度規格についての用語の解説をさせて頂こうと思います。

 

3項 用語の解説

用語については正しくマネジメントシステムを理解するための基本であり、規格を読むための前提でなければなりません。そのため用語の解説を以下に記します。

 

・組織

自らの目的を達成するため、責任、権限、相互関係を伴い独自機能をもつ、個人又は集団。

組織という概念には、法人か否か、公的か私的かを問わず、自営業者、会社、法人、事務所、企業。

当局、共同経営会社、非営利団体若しくは協会、又はこれらの一部若しくは組合せが含まれる。(た

だし、これらに限定されるものではない。)

 

・利害関係者

ある決定事項又は活動に影響を与え得る又は影響を受ける(影響を受けると認識している)個人又は組織。

 

・要求事項

明示されている、通常暗黙のうちに了解されている又は義務として要求されている、ニーズ又は期待。

“通常暗黙のうちに了解されている”とは、組織及び利害関係者にとって、慣習又は慣行であること

を意味する。

規定要求事項とは、例えば、文書化された情報の中で、明示されている要求事項をいう。

 

・マネジメントシステム

方針及び目的やそれらの目的を達成するためのプロセスを確立するための、組織の要素。

一つのマネジメントシステムは、単一又は複数の分野を取り扱うことができる。

システムの要素には、組織の構造、役割、責任、計画、運用などが含まれる。

マネジメントシステムの適用範囲は、組織全体、組織内の固有の機能・部門、組織横断的な一つ又は

複数の機能などがある。

 

・トップマネジメント

最高位で組織を指揮し、管理する個人又は複数の個人。

トップマネジメントは、組織内で、権限を委譲し、資源を提供する力をもっている。

マネジメントシステムの適用範囲が組織の一部だけの場合は、トップマネジメントとは、組織内のそ

の一部を指揮し、管理する人をいう。

 

・有効性

計画した活動が実行され、計画した結果が達成された程度。

 

・方針

トップマネジメントによって正式に表明された、組織の意図と方向付け。

 

・目的

達成すべき結果。

目的は、戦略的、戦術的又は運用的である。

目的は、例えば、財務、安全衛生、環境の到達点(goal)のように様々な領域に関連し、様々な階層

(戦略的レベル、組織全体、プロジェクト単位、製品単位、プロセス単位)で適用できる。

目的は、例えば、意図する成果、Purpose、運用基準など、別の形で表現することもできる。

同じような意味をもつ別の用語、例えば、狙い(aim)、到達点(goal)、目標(target)で表すこともできる。

情報セキュリティマネジメントシステムの場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。

 

・リスク

不確かさの影響。

影響とは、期待されていることから、好ましい方向又は好ましくない方向に乖離すること。

不確かさとは、事象、その結果又はその起こりやすさに関する、情報、理解又は知識に、部分的にで

も不備がある状態。

リスクは、起こり得る事象及び結果、又はこれらの組合せについて述べることによって、特徴を示す。

リスクは、ある事象とそれによって生じる周辺状況の変化が及ぼす結果と、その事象の発生しやすさ

との組合せとして表現される。

 

・力量

意図した結果を達成するために、知識及び技能を適用する能力。

 

 

・文書化された情報

組織が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。

文書化された情報は、あらゆる形式及び媒体の形をとることができ、あらゆる情報源から得られる。

 

・プロセス

インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。

 

・パフォーマンス

測定可能な結果。

パフォーマンスは、定量的又は定性的な所見のいずれにも関連する。

パフォーマンスは、活動、プロセス、製品、サービス、システム、又は組織の運営管理に関係する。

 

・外部委託する

ある組織の機能又はプロセスの一部を外部の組織が実施すること。

外部委託された機能又はプロセスはマネジメントシステムの適用範囲内にあるが、外部の組織はマネ

ジメントシステムの適用範囲の外にある。

 

・監視

システム、プロセス又は活動の状況を明確にすること。

状況を明確にするために、点検、監督、又は、注意深い観察が必要な場合もある。

 

・測定

値を決定するプロセス。

 

・監査

監査基準が満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための体系的で、独立し、文書化されたプロセス。

監査は、内部監査(第一者)外部監査(第二者・第三者)のいずれでも、又は複合監査(複数の分野

の組合せ)もある。

 

・適合

要求事項を満たしていること。

 

・不適合

要求事項を満たしていないこと。

 

・修正

検出された不適合を除去するための処置。

 

・是正処置

不適合の原因を除去し、再発を防止するための処置。

 

・継続的改善

パフォーマンスを向上するために繰り返し行われる活動。

 

ISO27001を新規で取得しようとお考えの企業様、また、どのようにして運用したら良いかお困りの企業様がおりましたら、お気軽にご相談ください。担当者レベルで決められない可能性もあります。その場合は、代表者の見直し、マネジメントレビューなどで、代表の方と一緒になって課題解決をしていきましょう。

皆様にとってよりよい方法をご提案できればと思います。そんなお手伝いをさせていただいております。ぜひ一度ご連絡をいただければと思います。

ISO27001(ISMS):2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」規格解釈

 

 

_shared_img_thumb_MAX88_shinzouwosasageru20141025133814_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの戸沼と申します。

今回のブログでは、

ISO27001(ISNMS):2015年度規格改訂4.4項「情報セキュリティマネジメントシステム」の規格解釈について書かせていただきます。

 

内容としては、

大きく下記の3つの項目をご説明させていただきます。

 

 1.ISO27001(ISNMS):2006年版と、ISO27001(ISNMS):2013年版の対比

 2.ISO27001(ISNMS):2013年版で明確にされたこと

 3.ISO27001(ISNMS):2006年版から、ISO27001(ISNMS):2013年版に移行するにあたって確認すべきこと

 

~~~~~~~~~~~~~~~~~~~~~~~~

1.ISO27001(ISNMS):2006年版と、ISO27001(ISNMS):2013年版の対比

 

まずは、ISO27001(ISNMS):2006年版と、ISO27001(ISNMS):2013年版の対比からみていきましょう。

 

ISO27001(ISNMS):2006年版における構成は下記の通りです。

4 情報セキュリティマネジメントシステム

4.1 一般要求事項

 

ISO27001(ISNMS):2013年版における構成は下記の通りです。

4.4 情報セキュリティマネジメントシステム

 

上記のように、

章の構成は変わっていますが、

大きな要素としては変わっていないことが分かります。

 

~~~~~~~~~~~~~~~~~~~~~~~~

2.ISO27001(ISNMS):2013年版で明確にされたこと

 

次に、ISO27001(ISNMS):2013年版で明確にされたことをみていきましょう。

 

ISO27001(ISNMS):2006年版における4.1項「一般要求事項」の記述は下記の通りです。

「組織は、その組織の事業活動全般及び直面するリスクに対する考慮のもとで、文書化したISMS を確立、

導入、運用、監視、レビュー、維持及び改善しなければならない。」

 

ISO27001(ISNMS):2013年版における4.4項「情報セキュリティマネジメントシステム」の記述は下記の通りです。

「組織は、この規格の要求事項に従って、ISMS を確立し、実施し、維持し、かつ、継続的に改善しなければならない。」

 

一見して分かることは、2006年版では「その組織の事業活動全般及び直面するリスクに対する考慮のもとで」という表記がありましたが、2013年版では、これら考慮すべき事項が4.1項から4.3項にてより明確化されました。

 

お客様訪問時に、障壁に感じていらっしゃるとよく伺うのは、この4.1項から4.3項をどう明確化するか、その方法を模索していらっしゃるところですね。組織によっては、SWOT分析をおこない、その結果報告をなさっているところもありますし、組織ごとの指標をもとに、定期的に報告をしている組織もあります。この点に関しては、経営層がどのような指標をもとに経営的なご判断をなされているのかを洗い出してみるのがよさそうです。

 

~~~~~~~~~~~~~~~~~~~~~~~~

3.ISO27001(ISNMS):2006年版から、ISO27001(ISNMS):2013年版に移行するにあたって確認すべきこと

 

最後に、ISO27001(ISNMS):2006年版から、ISO27001(ISNMS):2013年版に移行するにあたって確認すべきことを考えていきます。

 

私たちコンサルタントは、

様々な業種・業態の組織様のお手伝いをさせていただく中で、

役得と言いますか、様々な形・内容の「マネジメントレビュー」を拝見させていただいております。

その中で感じることは、

情報セキュリティマネジメントシステムに関連する外部及び内部の課題の変化 や、組織及びその状況の理解、利害関係者のニーズ及び期待の理解というのは、

「マネジメントレビュー」において、明確になっていることか多かったように思われます。

 

それから、これまでは、いわゆる「マネジメントレビュー」にて報告や指示がなされていた以外にも、

日常のコミュニケーション(例えば、経営会議、幹部会議、営業会議、等)にて、該当する項目の報告および指示がなされていないかを探してみてください。おそらくは、「マネジメントレビュー」という形を取らずしても、要求事項を満たすような定期的なイベントが実施されているのではないでしょうか。

 

 忘れてはいけないのは、マネジメントレビューを実施した結果の、文書化された情報が保持されているかです。

 

上記のような点にフォーカスをあてて、

貴社の情報セキュリティマネジメントシステムが整っているか、見てみてはいかがでしょうか。

ISO14001:2015(EMS)「7.5 文書化した情報」について

_shared_img_thumb_MIMIYAKO85_gakedeosuwari20140727_TP_V

いつもご愛読いただきありがとうございます

株式会社ISO総合研究所 コンサルタント 千葉です。

だんだん暖かくなってきましたね。夏ももうすぐですね。

 

さて、ISO14001も2015年に規格改訂されました。

今年あたりから徐々に改訂に向けたルール作り、規格の情報集めを行われる方も多いのではないでしょうか?

弊社でもISO14001:2015(EMS)の規格改訂に向けた書籍を作りました!

是非ご覧ください。

http://www.amazon.co.jp/【2015年改訂版完全対応】ISO14001-やるべきこと、気をつけること-これ1冊でできるわかる-株式会社ISO総合研究所/dp/4860638522/

 

さて、今回はISO14001:2015(EMS)で書かれている「7.5 文書化した情報」についてご説明したいと思います。

 

2004年版では「文書化した情報」なんて言葉はなかったですよね。

私も最初は「なんやねん」と思いました。(笑)

 

ISO14001:2015(EMS)での「文書化した情報」とは、今までの「文書」や「記録」を意味しています。

今回の新しい規格からはハイレベルストラクチャー(HLS)が採用されているため、ISO9001:2015(QMS)もISO27001:2013(ISMS)も同じ要求事項があります。

複数のISOをお持ちの企業は、マニュアルや仕組みづくりなど、統合しやすくなったのではないでしょうか。

 

せっかくなので、まずは「文書化した情報」について簡単にご説明したいと思います。

今までの「文書」「記録」と言われてもぴんと来ないかもしれません。

 

ISO14001:2015(EMS)では、

文書化する=文書化した情報を維持する

記録する=文書化した情報を保持する

と書かれています。

 

こうやってISO14001:2015(EMS)を読み込んでいくと、大事なポイントがわかってくるのではないでしょうか。

 

審査員の方が「ISO14001:2015(EMS)ではマニュアルはいらないんだよ」と雑談の中で織り込まれることもありますが、この「文書化した情報」とも関連があります。

 

せっかくなので、ISO14001:2015(EMS)で「文書化した情報を維持」するものと、「文書化した情報を保持」するものを調べてみましょう。

 

まず、文書化した情報を維持するもの。つまり、必要な文書は以下の6つになります。

①リスク及び機会、それらの計画(6.1.1 一般)

②環境側面・影響評価、環境側面の基準、著しい環境側面(6.1.2 環境側面)

③順守すべき法令及びその他の要求事項(6.1.3 順守義務)

④環境目標に関する事項(6.2.1 環境目標)

⑤運用計画のプロセス(8.1 運用の計画及び管理)

⑥緊急事態のルール(8.2 緊急事態への準備及び対応)

 

次に、文書化した情報を保持するもの。つまり、必要な記録です。

必要な記録は以下の7つになります。

①力量の記録(7.2 力量)

②打合せ・お客様対応時の記録(7.4.1 一般)

③監視・測定・分析・評価の記録(9.1.1 一般)

④順守評価の記録(9.1.2 順守評価)

⑤内部監査の記録(9.2.2 内部監査プログラム)

⑥マネジメントレビューの記録(9.3 マネジメントレビュー)

⑦不適合・クレーム・是正処置等の記録(10.2 不適合及び是正処置)

 

こうやって、文書化した情報を維持するもの・または保持するものは、いつも審査で見られているものになりますね。

 

では、具体的に要求事項についても見ていきましょう。

規格要求事項では、以下のように書かれています。

——————————————————

7.5.1 一般

組織の環境マネジメントシステムは,次の事項を含まなければならない。

  1. a) この規格が要求する文書化した情報
  2. b) 環境マネジメントシステムの有効性のために必要であると組織が決定した,文書化した

——————————————————

ISO14001:2015(EMS)では、20名で必要なルールと、100名で必要なルールは違う、ということも注記として書かれています。また力量に応じて必要な文書化すべき情報が変わる、ということも書かれています。

逆の見方をすると、上記で書かれた文書化した情報を維持すべき6つの情報、文書化した情報を保持すべき7つの情報を満たせば、その他は会社毎に自由に情報を決めることが出来る、ということです。

 

では、文書作成のルールも見ていきましょう。

規格要求事項では、以下のように書かれています。

——————————————————

7.5.2 作成及び更新

文書化した情報を作成及び更新する際,組織は,次の事項を確実にしなければならない。

  1. a) 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)
  2. b) 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)
  3. c) 適切性及び妥当性に関する,適切なレビュー及び承認

——————————————————

このあたりは規格改訂前とやることは大差ありませんね。

必要な名前をつけて、形式を決めて、文書が妥当かどうか確認を行う。会社として当たり前だけど難しいことだと思います。

 

では実際に情報の管理はどうなっていくでしょうか。

規格要求事項では以下のように書かれています。

——————————————————

7.5.3 文書化した情報の管理

環境マネジメントシステム及びこの規格で要求されている文書化した情報は,次の事項を確実にするために,管理しなければならない。

  1. a) 文書化した情報が,必要なときに,必要なところで,入手可能かつ利用に適した状態である。
  2. b) 文書化した情報が十分に保護されている(例えば,機密性の喪失,不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって,組織は,該当する場合には,必ず,次の行動に取り組まなければならない。

- 配付,アクセス,検索及び利用

- 読みやすさが保たれることを含む,保管及び保存

- 変更の管理(例えば,版の管理)

- 保持及び廃棄

環境マネジメントシステムの計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて識別し,管理しなければならない。

——————————————————

みんなが守るべきルールです。

どうすれば見やすいか、どうすれば情報を探しやすいか、どうすれば一番新しい情報だと識別できるか。

今までと大差ないルールだと思います。

どうすれば働きやすくなるか、またどうすればみんなが共通のルールで働くことが出来るのか、を考えるべき内容ですね。

 

ISO14001:2015(EMS)のマニュアルを見直していく中で、必要な情報が何か、を改めて考えてみてください。

コンサルタントが現場で作る打合せメモ:ISO9001(アイエスオー9001)

_shared_img_thumb_Green22_bag20141123111535_TP_V(1)

こんにちわ!桜の季節も終わりに近づき、

子育てに奮闘している嫁に、

「息抜きのつもりでドライブがてら桜でも見に行くかい?」と聞くと、

「テレビで見たからいいよ。」と言われて

立ち尽くしてしまったISO総合研究所コンサルタントの竹嶋です。

昔のアクティブな嫁の復活のためにしっかりサポートしていきます。

 

そしていつもご愛読ありがとうございます.

本日はISO9001(アイエスオー9001)で訪問させていただいた

お客様にのみお送りさせていただく打合せメモを公開いたします。

 

50名規模の建設業様のISO9001(アイエスオー9001)の

打合せの際に作成した打合せメモです。

 

規格要求事項順に要点だけ記載しておりますので、

なんとなく流し見いただければと思います。

 

 

・1適用範囲に関して

・建築物の設計・施工工事

 

・3用語の定義

現場の責任者は、作業所長

 

・5.3経営方針

└★経営方針を選んでもらう

 

・5.4.1目標管理

└毎年目標管理表

└現場の不適合ゼロ件(品質と環境と同じ要素)

└労災事故をゼロ件

└※これは緊急事態ともする

 

・5.4.2品質マネジメントシステムの計画

└ISO総研の基本パターン

 

・5.5.3内部コミュニケーション

すべての工事

└着工前会議

└工事のすり合わせ、引継ぎ、重要事項の確認等

工事着工前会議録 等を活用する

 

└マネジメントレビュー

└毎年1回

 

・5.6マネジメントレビュー

└ISO総研の基本パターンで

└6月

└2011年6月末

 

・6.2.2

└資格一覧

└環境の要素等の力量を含める

 

└教育計画・実績表 を用意する

└自覚教育を含める

└把握できる資格要素だけ含める

 

 

・6.3インフラストラクチャー

└以前のインフラストラクチャーを使う

 

 

・6.4

└以前の作業環境をベースにする

 

 

・7.1

└工事の計画

└実行予算書や工程表

└工程表(マスター工程表) 等

 

 

・7.2.1顧客要求事項の明確化

└営業プロセスの各インプット書類参照

└変更がある場合は、工事受注報告書 がある

 

・7.2.2顧客要求事項のレビュー

すべての工事

└提出 見積り金額 協議書 の内容の評価

└責任者は、各担当部長

 

 

 

・7.2.4環境側面

└ISO総研の基本パターンで

└著しい環境側面=現場での不適合発生

 

 

 

・7.3.1設計の計画 (※設計の書類も様式番号つけてよい)

└業務記録台帳

└工事監理計画及び実施記録

 

 

・7.3.2インプットのレビュー

設計のレビューは必ず部長が行う

インプットの書類

└業務目次

└インデックス3、4、5、6

 

・7.3.3設計のアウトプット

└設計図書

└※設計図面と構造計算書等

 

・7.3.4レビュー

└レビューは部長が行う

└レビューをとおして、検証と妥当性確認を行う

└レビューの結果、変更が必要な事項がある場合は、

設計打合せ簿等に記録をする

 

・7.3.5検証

図面に押印:部長

構造計算書をもって構造の検証

変更事項がある場合は、設計打合せ書へ

 

・7.3.6妥当性確認

顧客や設計業者との打合せの結果

変更事項がある場合は、設計打合せ書へ

 

・7.3.7設計の変更

設計の変更がある場合は、この手続きを最初から行う

 

・7.4.1購買先の評価

 

└新規評価

└管理本部で、取引概況書 を業者に作成させ、評価する

評価結果、活用するに値する業者に関しては、登録して確認する

└継続的な評価に関して

└通常の評価に関しては、大口に工事に関しては、個別の発注

ごとに、発注伺書や発注報告書等で評価する

└作業所長や担当部長等からの情報をもとに、調査をすることがある

 

・7.4.2購買情報の明確化

└インプット

└100万円以上は、発注伺書で妥当性を確認

└50万円~100万円は、発注報告書

└アウトプット

└発注書

└業者さんからの見積書

 

・7.4.3購買検証

└検証の結果として、納品書を受け取る

 

 

・7.5.1製品実現の計画

 

・7.5.2

└鉄筋の圧接工事

└鉄骨の溶接工事

 

└検査の記録がある

└資格者が担当している

 

・7.6測定器の管理

・測定器はアウトソーシングして、管理して

もらっている(一覧表で預けている測定器は把握させている)

・入出庫依頼書で業者に測定器を依頼し、

依頼した測定器が現場に搬入される

・伴って校正記録が管理される

 

・8.2.1内部監査

└当社のシンプルルールで実施

 

・8.2.2顧客満足

└官庁工事

└工事成績書

└NET、民間

└工事受注報告書 の既存顧客や紹介の状況

 

・8.2.3プロセスの監視

営業プロセス

見積り金額が、目安の比率になっているかが監視されされている

設計プロセス

実行予算に対しての実績状況が監視されている

購買プロセス

実行予算に対しての実績状況が監視されている

施工プロセス

実行予算に対しての実績状況が監視されている

工程の進捗が監視されている

 

・8.3不適合の記録

└ISO総研の基本のフレーム

 

 

 

□現場の仕事の流れ

 

営業

└官庁

└営業活動

└インプット

└見積書

 

└アウトプット

└質問書

└回答書

└現場説明報告書

 

└見積

└インプット

└現場説明報告書

└設計図書

└アウトプット

└見積書

└提出 見積り金額 協議書

 

└受注

└インプット

└現場説明報告書

└設計図書

└見積書

└アウトプット

└工事受注報告書

 

└民間、NET

└営業活動

└インプット

└現場説明報告書

└設計図書

└※設計打合せ簿

 

└アウトプット

└質問書

└回答書

└現場説明報告書

└※設計打合せ簿

 

└見積

└インプット

└現場説明報告書

└設計図書

└アウトプット

└見積書

└提出 見積り金額 協議書

 

└受注

└インプット

└現場説明報告書

└設計図書

└見積書

└アウトプット

└工事受注報告書

 

└※ちなみに、8番コードの仕事に関して

└営業活動

└工事受注報告書

└アウトプット

└工事受注報告書

 

└見積り

└見積書 表紙 発行依頼書

└アウトプット

└工事受注報告書

 

施工プロセス

└インプット

└現場説明報告書

└受注報告書

└設計図書

└着工前会議

└アウトプット

└工事日誌

└工事打合せ簿

└実行予算書

└工程表(マスター工程表)

└月間工定表・安全管理計画表

└施工図

 

 

検査プロセス

└インプット

└工事状況

└アウトプット

└生コンクリートや鉄骨関係の記録

=工程内の検査となる

└社内竣工(検査・再検査)報告書

=担当部長が引き渡し許可の責任となる

※様式変更もありえる