ISO27001:2013(ISMS):2013年度規格改訂 7項「支援」規格解釈

 

PASONA_41_TP_V

 

こんにちは!!

ISO総合研究所コンサルタントの堀田です!!

さて、今日はISO27001:2013(ISMS)の「7.支援」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

7 支援

7.1 資源

組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

 

7.2 力量

組織は、次の事項を行わなければならない。

a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。

b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。

c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。

d)力量の証拠として、適切な文書化した情報を保持する 。

注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

 

7.3 認識

組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。

a)情報セキュリティ方針

b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献

c)ISMS要求事項に適合しないことの意味

 

7.4 コミュニケーション

組織は、次の事項を含め、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。)

b)コミュニケーションの実施時期

c)コミュニケ一ションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

 

7.5 文書化した情報

7.5.1 一般

組織のISMSは、次の事項を含まなければならない。

  1. a) この規格が要求する文書化した情報
  2. b) ISMSの有効性のために必要であると組織が決定した、文書化した情報

注記 ISMSのための文書化した情報の程度は、次のような理由によって、それぞれの組織で異なる場合がある。

1)組織の規模、並びに活動、プロセス、製品及びサービスの種類

2)プロセス及びその相互作用の複雑さ

3)人々の力量

7.5.2 作成及び更新

文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。

a)適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)

b)適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)

c)適切性及び妥当性に関する、適切なレビュー及び承認

7.5.3 文書化した情報の管理

ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。

a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。

b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって、該当する場合には、必ず、次の行動に取り組まなければいけない。

c)配付、アクセス、検索及び利用

d)読みやすさが保たれることを含む、保管及び保存

e)変更の管理(例えば、版の管理)

f)保持及び廃棄

ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて、特定し、管理しなければならない。

注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧及び変更の許可及び権限に関する決定などを意味する

要求事項の分になると難しく感じてしまいますが

7章が求めていることはマネジメントシステムを支援する基本要素を言っています。

「7.1 資源」では、ISO27001:2013(ISMS)を運用、継続的改善をするときに必要な資源を決定し、提供しなければなりません。

簡単に言うと、お仕事をする上で、なくてはならないもの、当たり前のことを準備するように記載されています。

決してISMSに特化したものではありません。

「7.2 力量」では社内で定めた力量を持っているか確認します。力量という子駑馬は普段聞きなれない言葉ですよね。

用語の解釈では「意図した結果を達成するために、知識及び技能を適用する能力」

今まで従業員が受けてきた教育や訓練、経験などから本当にその力量を持っているかどうか確認します。

力量が不足していると判断した場合は、再教育など何らかの処置を講じる必要があります。

何らかの教育や処置を行った場合は記録の作成も忘れてはいけません。

 

「7.3 認識」では組織の管理下で働く人々は、a~cに関して知っていなければならないということです。

a~cの項目において組織下にいる人たちがどれだけ理解しているかは常日頃の代表や管理責任者がどれだけ頻繁に声かけしているかだと思います。
リーダーシップに期待です。

「7.4 コミュニケーション」では、外部とのコミュニケーションをとるために必要な事項を決めます。
5W1Hで考えるといいですね!
「7.5 文書化された情報」では文書化された情報を作成~承認、更新までの基本が書かれています。
文書化した情報は社内で展開した後、改廃を管理しなければいけません。
その責任は明確にしておかないといけませんね!
お客様先に訪問すると、旧版のマニュアルをまだ保管していたり、新しい手順書が共有されていなかったりするところをよく目にします。
紙で管理しているとこのような出来事が多いので、ぜひデータで管理し、あまり出力しない方法をお勧めします。

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO総合研究所にお問い合わせ下さい!

 

 

 

ISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」規格解釈

 

 

 

_shared_img_thumb_YOTA82_nanigaokotta15122053_TP_V

こんにちは。

ISO総合研究所コンサルタントの栗林です。

今回はISO27001:2013(ISMS):2013年度規格改訂 7.4項「コミュニケーション」についてです。

先ずは規格を見てみましょう。

7.4 コミュニケーション 

組織は,次の事項を含め,ISMS(ISO27001:2013)に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。

b)コミュニケーションの実施時期

c)コミュニケーションの対象者

d)コミュニケーションの実施者

e)コミュニケーションの実施プロセス

ISO(アイエスオー)ではISO9001:2015(QMS)でもISO14001:2015(EMS)でもISO27001:2013(ISMS)でも”コミュニケーション”という言葉が登場します。

ISO9001:2015(QMS)では5.5.3、ISO14001:2015(EMS)では4.4.3項、ISO27001:2013(ISMS)では7.4項に登場します。

コミュニケーションときくと、ISO(アイエスオー)とは関係ないところでも

普段使われる単語の一つです。
ISO(アイエスオー)では違うことをさしているのではないかと考えがちですが、
基本的には普段使っているコミュニケーションと変わりません。

細かいことを言うと、ISO9001:2015(QMS)とISO14001:2015(EMS)のコミュニケーションでは
言われていることが少し異なります。
ですが、基本的な考え方は同じです。
社内の従業員同士、従業員と社長、事務員と現場の方、
営業と顧客、近隣住民の方、近隣の工場の方などなど…。
お仕事や周辺環境などによってコミュニケーションをとれる対象や、
とらなくてはいけない対象は変わってきます。
(ISO9001:2015(QMS)とISO14001:2015(EMS)でも要求されている対象がかわります)

これらの必要なコミュニケーションの手段を決めておいて、
適切に行いましょうというのが目的です。
ですので、10社ISO(アイエスオー)のISO9001:2015(QMS)やISO14001:2015(EMS)を運営管理していれば、
10社違う手段を用いているともいえます。
実施している内容を見れば、共通してやっていることも多々ありますが、
すべて同じことをしているというのは稀です。
様々な影響によりやり方もやらなくちゃいけないこともかわるということも、
その一つの要因です。

やらなくてはいけないことは必要な情報を共有する場を作る
ということです。
その必要な情報についても様々あるので一概にはいえませんが、
シンプルに言えば、社内外でのコミュニケーションを上手く取る
仕組みを決めておきましょうといったところでしょうか。

 

違う内容をもう一つ。

ISO(アイエスオー)の新規認証にかかる期間は、一般的には6ヶ月と言われます。

多くの会社で運用されているISO(アイエスオー)やPマーク(プライバシーマーク)の仕組は、非常に不合理なものです。

 

例えば、ISO9001:2015(QMS)では、10年前の大量生産・大量消費時代のころのしくみが、多品種小ロットが主流になった現在でもそのまま使われています。

 

ISO14001:2015(EMS)では、80年代の環境への負荷を考えずあらゆるものを「垂れ流していた時代」につくった環境影響評価等のしくみが、現在では様々な環境対策が整備されているにもかかわらず、まったく手を付けられずに残っている事実があります。

 

ISO27001:2013(ISMS)では、3ケ月あれば新しい情報ツールが出るこの時代に、10年前の情報リスク対策が、何も見直されずに継続して運用されています。

 

Pマーク(プライバシーマーク)でも、従業員が1万人クラスの超大手企業が10年前の構築したしくみを100人未満の企業がそのまま流用しています。

 

このような事実があります。

 

そして、恐ろしい事に、このような前時代的なしくみを新規認証にあたって、あらたに社内構築するところもあるのです。

 

それに対し、私たちはすでに会社の中にあるしくみを使って無理の無いようにISO(アイエスオー)の認証・運用をするスタンスです。

 

インターネット社会の普及により、様々な情報を入手できるようになった反面、情報の見極めも必要になってくるのではないのかと思います。

文書は、ISO(アイエスオー)に必要だから作るものではなく、本来『業務に必要だから作る』もの。ISO(アイエスオー)のために1から文書を作るのではなく、既存のマニュアルや作業手順をなるべく活用させ『今できること』から行うことで、『文書化』は楽になります。
『○○の仕事を□□さんが担当する』というのが本来の役割分担ですが、『□□さんに担当してもらう仕事は…○○にしよう』といった流れで業務が行われている会社があります。

また、『できる社員』『経験のある△△さん』がいる会社では、その人を中心に仕事がまわっていることもあります。

このような会社では、ISO(アイエスオー)を導入することでこれまでのやり方が崩れ、仕事がやりにくくなることもあります。

現状ではうまく仕事が流れているとしても、景気等の外的要因や、派遣社員、中途入社、早期退職者の増加などの内的要因によって、組織を取り巻く状況は刻々と変わります。誰がやっても同じ仕事ができるようにするため、業務の標準化を行っていきましょう。
リーダーが掲げた目的・目標が理想に走りすぎな(現実よりかけ離れている)場合、既存業務とのギャップが生じ業務に影響が出ることもあります。

ISO(アイエスオー)で高い目標を掲げても、実際には実現不可能で、逆にやる気を失ってしまった、というケースも見られます。

目標を立てる際は、会社の技術上の選択肢、財政上の諸事情を配慮した上で、理念に沿った具体的目標を立てていきましょう。

ISO(アイエスオー)を構築した最初の年は、結果を出そうと必死になる必要はありません。『認証取得』という結果だけで充分です。肝心なのは、『継続的改善』です。C(内部監査等)やA(レビュー、改善)を続けていくことで、少しずつ効果が出ていくということを認識しておきましょう。

これからのISO(アイエスオー)との付き合い方は近年、ISO(アイエスオー)が経営寄りに変わってきている中で、使い方に違いがでてきています。
具体的に説明するとISO(アイエスオー)の認証維持する目的が90年代に流行った品質保証を目的としたものから実務を活かして負担をできるだけかけずに認証維持する考えに変わってきました。

品質保証を目的においていた時代は、すべての文書や記録に対して、本当にそれで問題がないのか保証する必要がありました。
そのため、なんでも手順書を作って、ルールで縛り、現場で使っている文書や記録を保証する文書や記録まで二重に作っており負担が大きくなっておりました。その結果、ISO(アイエスオー)用の活動が増え、資料もキングサイズのファイルが10個以上並び膨大に膨れ上がります。

負担をかけて、本来の業務が圧迫されることは経営の観点からも望ましいものではございません。
そのような現状から認証を辞退する組織も続出したため、審査機関の考え方も変化し、
近年は負担をかけず実務を活かしてマネジメントシステムを構築することを推奨している審査機関が増えてきております。

製造業界や建設業界等で根強くISO(アイエスオー)認証しているかどうかが、経営に大きく関わる組織はできるだけ負担がかからず、実務をしていれば認証維持できる審査機関を選び、ISO(アイエスオー)用に二重になっている無駄な仕組みは整理していくことがうまく付き合っていくコツになっています。

 

再度言います、ISO(アイエスオー)を取得しようとして手間が増えるという事はありません。

私たちはすでに会社の中にあるしくみを使ってムリの無いようにISO(アイエスオー)の認証・運用をするスタンスです。

ISO27001:2013(ISMS):2013年度規格改訂 8.2項「情報セキュリティリスクアセスメント」規格解釈

-shared-img-thumb-150415361974_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの田口と申します。

前回のブログでは「ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈」というものをテーマに書かせていただきました。

今回は…

ISO27001(ISMS):2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈

というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

今回も、田口がブログでISO27001:2013年規格改訂8.2項「情報セキュリティリスクアセスメント」の部分の規格解釈という形で

やさ~しく、わかりやす~く、丁寧に! ご説明させていただきます。

ちなみに、ここ以降はISMS(アイエスエムエス)というものが出てきますが、ISO27001と同義です。

では、はじめに8.2項の要求事項には何が書かれているのでしょうか?

「組織は、あらかじめ定めた間隔で,又は重大な変更が提案されたか若しくは重大な変化が生じた場合に、6.1.2 a) で確立した基準を考慮して,情報セキュリティリスクアセスメントを実施しなければならない。

組織は、情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。」

途中で出てくる6.1.2 a)も後で見てみましょう。

最初は、情報セキュリティリスクアセスメントというものを簡単にして、文字から読み解いてみましょう。

・情報セキュリティ

情報セキュリティは、「情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態を維持すること。

さらに、ある資源等が本当に合っているかどうかを確実にすること、いつでもその作業の流れが追跡できること、ある活動が後になって違うということが起こらないように証明すること、

ある動作および結果に一致することのような特性を維持することを含めてもよい」

・リスク【risk】

危険。危険度。また、結果を予測できる度合い。予想通りにいかない可能性。

・アセスメント【assessment】

評価。査定。開発が環境に及ぼす影響の程度や範囲について,事前に予測・評価することなどにいう。

まとめると…

情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態が維持できるように前もって危険、結果を予測できる度合いを評価する。

ですね!!

情報セキュリティリスクアセスメントについてはわかりました。

次は6.1.2 a)の基準ですね。

6.1.2 a)は規格要求事項に何が書いてあるでしょう?

次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

1)は、リスクはあるのだけれども、今の現状では対応の必要がないだろうと判断する基準を設けること

2)は、リスクアセスメントを行う上で、どのような基準を作るのか?リスクの評価をするための基準はどんなものか?

こんなことが書いてあるんですね。

この基準を元に情報セキュリティのリスク評価を行っていきましょうということなんですね。

そして最後の部分です。これの結果を文書化しましょうということです。

さて、文書化というのはどういうことでしょう?

文字にする。文章にする。

というのが一般的だと思います。

実は、文書化というのは、文字、文章の他に、表、図、絵、写真なども当てはまります。

必ずしも、文字で文章を書かなければいけないというものではないのです!!

これはけっこう勘違いをされてしまう方が多いのです。

さて、これですべてのわからないような文言がわかりましたね。

最後にまとめてみましょう。

8.2項「情報セキュリティリスクアセスメント」

「会社やISMS認証の範囲中の組織は、定期的又は大きな変更が生じた場合に、リスクアセスメントを行う上でリスク評価をするための基準を考慮して、情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態が維持できるように前もって危険、結果を予測できる度合いの評価を実施しなければならない。

会社やISMS認証の範囲中の組織は、これらの結果を文章・表・図・絵などで記録を残さなければならない。」

ということになります。

どうでしょう?わかりましたか?

こういう規格解釈が本当にあなたの会社にとって必要なのかを考えるのも良いかもしれないですね。

しかし、解釈にかかる時間がもったいなくありませんか?

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていく!ということです。

話が長くなりました…

それでは、今回は「ISO27001(ISMS):2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

ISO9001とISO27001は統合できるのか?統合した方が良いのか?


いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの佐藤龍平です。

 

 

さて、ISO9001の2015年版が出ましたね!ISO9001の取得されている企業の皆様は改訂作業などいかがでしょうか?

 

 

今回は、ISO9001を取得されている企業様の中でもISO27001も併せて取得されている皆さんが気にされているであろう事を書かせていただきます。

ズバリ、ISO9001とISO27001は統合できるの?統合した方が良いの?

ということです!!

 

 

別に気になっていないよ、という方もいらっしゃるかもしれませんが、お時間があるようでしたらぜひご一読いただければと思います。

 

 

さて、今回ISO9001の2015年版になったことにより、ハイレベルストラクチャー(HLS)が採用されました。

ハイレベルストラクチャーってなんですか?という方もいらっしゃるかもしれないので、簡単に説明をさせて頂きます。

このハイレベルストラクチャーの採用によって、ISO9001やISO27001の規格毎でバラバラだった章構造が統一されることになります。

ISO9001の2015年度版では、下記のような構造になります。

 

 

1.適用範囲

2.引用規格

3.用語及び定義

4.組織の状況

 4.1組織及びその状況の理解

 4.2利害関係者のニーズ及び期待の理解

 4.3品質マネジメントシステムの適用範囲の決定

 4.4品質マネジメントシステム及びそのプロセス

5.リーダーシップ

 5.1リーダーシップ及びコミットメント

 5.2方針

 5.3組織の役割、責任及び権限

6.計画

 6.1リスク及び機会への取組み

 6.2品質目標及びそれを達成するための計画策定

 6.3変更の計画

7.支援

 7.1資源

 7.2力量

 7.3認識

 7.4コミュニケーション

 7.5文書化した情報

8.運用

 8.1運用の計画及び管理

 8.2製品及びサービスに関する要求事項

 8.3製品及びサービスの設計・開発

 8.4外部から提供されるプロセス、製品及びサービスの管理

 8.5製品及びサービスの提供

8.6製品及びサービスのリリース

8.7不適合なアウトプットの管理

9.パフォーマンス評価

 9.1監視、測定、分析及び評価

 9.2内部監査

 9.3マネジメントレビュー

10.改善

 10.1一般

 10.2不適合及び是正処置

 10.3継続的改善

 

 

ISO27001では情報セキュリティのことを書かれているので、細かい項番の名称は違っていますが、章構造は一緒となっています。

 

また、章構造が統一されるだけでなく、用語の定義なども統一されます。

 

 

このように章構造や用語の定義などが統一されるということは、複数の規格(ISO)を有している組織でも、規格毎に使っていた言葉が同じになり、分かりやすくなったとも言えます。

 

 

 

さて、それでは表題の方に戻るのですが、ISO9001とISO27001は統合できるのか?ということについてですが、勘の良い方はもうわかっているかもしれませんが、ハイレベルストラクチャーの採用により、ISO9001とISO27001は統合することが可能です!!

 

 

ISOの担当者の皆さん、朗報ですよ!!

複数のマネジメントシステムをまとめることができるんです!!ハイレベルストラクチャー最高ですね!!!笑

 

 

といっても、統合できるからといって何か良いことがあるの?と疑問に思う方もいらっしゃると思いますので、下記に統合した際のメリットを記載させていただきます。

 

 

その1、文書が1つでよくなる!

ハイレベルストラクチャーで章構造、用語の定義が統一されるということは、例えばISO9001とISO27001の2つの規程を用意していた企業ですと、1つにまとめることができます。管理する文書が1つ減るということになりますね。ちょっとスリムになります。

 

 

 

その2、活動が1回で済む!

ISOでやらなければいけない活動として、内部監査やマネジメントレビューなどがありますが、規格を統合することでこれらの活動を規格毎ではなく、まとめて行うことができます。

まとめて実施を行うことで、活動に使う時間を減らすことができ、皆様の本業に時間を割けるということですね!!生産活動に力を割けるなんて素敵です!!!

 

 

その3、内部監査、審査が1回で済む!

上記に書いたことと被る部分があるのですが、ISOを統合することで内部監査や審査が1回でまとめることができます!!ISO9001の審査の翌月にISO27001の審査があって、大変な思いをした...そんな担当者の方、いらっしゃらないですか?

そんな手間から解放されてしまうんです!空いた時間でいっぱいお仕事ができますね!!

 

 

 

さて、それではISO9001とISO27001を統合した会社としなかった会社を比べてみましょう。

 

 

ISO9001とISO27001を統合したA社さん

・ISO9001とISO27001の委員会が統合され、今まで合計10人体制だったところ、6名体勢に削減することができました。

・サーベイランス審査や再認証審査の際も両規格合わせて1回の審査でよく、ISOに掛かっていた人員(管理職な方々)を本業に投入することができました。本業に戻られた方の活躍もあり、業績は統合前よりもアップしたようです。

 

 

 

ISO9001とISO27001を統合しなかったB社さん

・ISO9001とISO27001の委員会はしないで、今まで通り合計10人体制でそれぞれの規格の運営を行っています。

・サーベイランス審査や再認証審査の際はそれぞれの規格毎に開催され、度々ISOのために時間を取られてしまいます。ISOの委員会の皆さんは管理職レベル。

日々ISOの作業に時間を取られ、現場のマネジメント等に力を割けません。そのためなかなか本業の業績もあがらないという状況です。

 

 

上記を読んで皆さんはどう思いましたか?

せっかく規格改訂がされ、統合のチャンスなのに今まで通りのやり方を続けていると利益のための活動がなかなかできません。

皆さんの生産活動を上げるための活動をやってみてはいかがでしょうか?

 

 

今後ISO9001とISO27001の統合や取得を考えている、ISOについてもっと知りたい、そんなことを考えている方がいらっしゃれば、お気軽に弊社までお問い合わせください。

弊社ISO・プライバシーマークのコンサルタントが説明させて頂きます。