最新記事
アーカイブ
記事テーマ
NQAコラム
ISO 27001:2013の認定移行が認められました
2014.06.11 | テーマ:ISO 27001
昨年改訂されたISO 27001:2013への対応について、6月5日付でUKASより認定の移行が正式に認められました。
UKASのウェブサイトよりご確認ください。

これから情報セキュリティマネジメントシステムを認証される組織は全て2013年版で対応していただく必要があります。
既に認証されている組織は2015年9月末までに2013年度版へ対応していただく必要があります。
詳しくはこちらをご確認ください。
ISO 27001:2013の発行について

2005年版から2013年版へ移行されるとき、これまでの活動を否定される部分はありません。
まずは既存のマニュアル(実際の活動)と新規格を読み合わせてください。そして、そこから浮かび上がってくる差異を貴社の必要に応じて取捨してください。
よく「マニュアルを全て改訂しないといけないのですか?」とお問合せをいただきますが、全面改訂する必要はありません。
新しい要求事項や管理策もありますので必然的にマニュアルは改定しないといけないかもしれませんが、その深度は貴社の裁量に任されています。新規格の章立てに併せて全面改訂するもよし、既存のマニュアルに不足分を追記するもよし、要は貴社にとって管理しやすい、運用しやすい内容となることを前提に作業を進めてください。

マニュアルは審査員のためにあるのではありません。これを機に審査用ではなく実際に使えるマニュアルを目指してください。(もちろん既に実践されているお客様もたくさんいらっしゃいます。)
マネジメントレビュー会議は必要か?
2014.04.21 | テーマ:マネジメントシステム
確かにISOマネジメントシステム規格は、トップマネジメントにマネジメントレビューを要求している。しかし規格が要求するマネジメントレビューの全インプット項目やアウトプット項目を“無理やり”網羅したマネジメントレビュー会議という名の会議の実施を要求しているわけでは無い。

ましてや審査員に見せることを意識した、インプットとアウトプットを網羅したマネジメントレビュー会議議事録の作成も要求されているわけでは無い。

規格が求めているのは、マネジメントシステムが引続き、適切、妥当かつ有効であることを確実にするためにトップマネジメントがあらかじめ定められた間隔で、マネジメントシステムをレビューすることだ。

記録の要求も、審査員に見せる為では決して無く、マネジメントレビューで決定したことを忘れずに確実に実施するため書き残しておくことが必要だからではないか。

マネジメントレビューのやり方は一切要求されていないので、PDCAを回すという目的を達成するため、組織にとって最も有効な方法を取れば良いのではないか。会議形式以外にも、面談形式・トップマネジメント自ら情報収集して行う形式他、やり方はいろいろありそうだ。

規格が要求するインプットやアウトプット項目を網羅できているかが重要なのではない。
マネジメントシステムをレビューし、システムを維持し改善することが重要なのだ。

誤解を恐れずあえて言おう、ISO審査対応の為に行うマネジメントレビュー会議や審査員に見せるためのマネジメントレビュー会議録作成は不要だ。

組織は、審査や審査員のことなど全く気にせず、自分たちの為だけにマネジメントレビューを行えば良い。それで指摘されたなら、どこが駄目なのか納得がいくまで説明してもらうべきである。
審査員はその説明責任を負っている。納得のいく説明を受けられたなら改善すればよい。


プロのISO審査員は、規格要求を網羅したインプットやアウトプットが議事録に記録されているかを確認するような審査をするべきでない。プロは、“木を見て森を見ず”であってはならない。
マネジメントレビューの有効性という“森”を見ることが大事だ。“森”が悪ければ、その理由を見つけるために“木”を見ればよいのだ。

JIS Q 27001:2014の発行
2014.03.25 | テーマ:ISO 27001
3月20日にJIS Q 27001:2014が発行されました。

ISO 27001:2013の邦訳版は昨年から発売されていましたが、JIS規格となることで価格が大幅に下がります。
詳しくは日本規格協会のウェブサイトをご確認ください。
中程のSearch欄、JIS検索から規格番号に【Q27001】を入力して検索してください。

ところで、以前にお客様からJIS Q 27001はなぜ「Q」なの?と尋ねられたことがありました。
曰く、「ISO 9001は品質(quality)だからJIS Q 9001なのは判る気がするが、ISO 14001(JIS Q 14001)やISO 27001(JIS Q 27001)はどうして「E」や「I」にならないの?」ということでした。
残念?ながら「Q」はqualityの頭文字でありません。JISの次に来るアルファベットは分野別に割り当てられた記号です。「Q」はマネジメントシステム規格に割り当てられています。
周知の通りJIS規格はISOとの整合化が進んでいて、整合化された規格の番号はISOと同じ番号になります。正確には番号の後の「:西暦」まで含めて規格番号です。この西暦はその規格が発行(改定)された年ですので「ISO 27001:2013」は「JIS Q 27001:2014」となります。

ちなみにISO規格の各番号は特に規則や理由があって定められるのではないそうですので、なぜ9001?14001?との疑問に答えはないようです。
関連する規格は連番になることが多いですが廃止された規格は空き番になります。例えばISO 9001の次は9004に飛びますが、これはISO 9002、9003がISO 9001に統合されたので2003年以降空き番のままです。




蛇足
JISは日本工業規格(Japan Industrial Standard)の略称ですから上記の「JIS規格」の表記も「規格」がダブっているので正確ではないそう。