ISO取得支援実績2800件以上
日本一のISO取得支援実績

当社コンサルタントが書いた
解説本が発売されました

       

ISO、15規格以上に対応(2019年9月現在)
ISO総合コンサルティング会社

コラム

OHSAS18001がISO規格化へ

1.OHSAS18001の国際規格化

ISO(国際標準化機構)において、労働安全衛生マネジメントシステムの国際規格化の構想は、1997年と2000年の過去2回、採択のための投票がありましたが、いずれも否決・非承認されました。OHSAS18001は、BSI(英国規格協会)を中心としたチームにより、否決・非承認への対応処置として、1999年に発行され、現在は2007年版が適用されています。

続きを読む

ISO/IEC DIS 27001(情報セキュリティマネジメントシステム-要求事項)の概要

ISO27001:2013への移行は「ISO/IEC 27001:2013移行支援」をご覧ください。

 

1.改正版ISO 27001の発行時期

2013年1月に、ISO 27001:2005 情報セキュティマネジメントシステム-要求事項 の改正版にあたるDIS 27001(国際規格原案/Draft International Standard)が発行されました。

DIS 27001は、各国のISO加盟機関で構成される委員会での審議・投票を経て、FDIS 27001(最終国際規格案/Final Draft International Standards)として発行された後、遅くとも2013年末には、改正版ISO 27001が発行される予定です。

過去のISO規格改正時の対応と同じであれば、発行後2年以内に改正新規格に移行する必要があります。
なお、移行審査を受けるにあたっては、改正版ISO 27001の要求内容にISMS(情報セキュリティマネジメントシステム)を改定して、運用していることが必要です。

 

 

2.ISO/IEC DIS 27001の構成

改正版ISO 27001は、“ISO/IEC専門業務用指針 補足指針”に定めるMSS共通要求事項(HLSとも呼ばれる)を採用して開発されており、箇条4~10からなるPDCA(Plan:箇条4~7 Do:箇条8 Check:箇条9 Act:箇条10)で構成されています。
ISO27001固有の要求事項は“太字赤字箇所”で示した箇所になります。

また、ISO 9001(品質)ISO 14001(環境)も、同様の箇条10からなる構成で改正作業中であり、各ISOマネジメントシステムの規格構成の共通化が進んでいます。

ISO/IEC DIS 27001の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画策定
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化された情報の管理
8. 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策

3.DIS 27001の主な改正点

DIS 27001の主な改正内容は、現行のISO27001の基本的な取組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴です。

4.推奨される改正対応

1. ISMSマニュアルと適用宣言書を改正版ISO 27001に合わせて全面的に改定する。
2. 現行のセキュリティ対策と附属書Aの管理策を比較し、情報セキュリティ関連規定を改定する。
3. 改正版ISO 27001に適合したISMSを運用して、教育訓練、内部監査、マネジメントレビューを実施し、移行審査に備える。
4. 単に、改正版ISO 27001に合わせてISMSを変更するだけではなく、運用上のムリやムダを調査し、業務と一体化したマネジメントシステムにリフォームする。
5. ISO 9001(品質)ISO 14001(環境)等、他のマネジメントシステムとの一元化も視野に入れた見直しを実施する。

5.無料資料

無料資料より、附属書Aの“対比表”付き「ISO/IEC DIS 27001の概要(PDF)」がダウンロードできます。

ISO29990(LSMS:学習サービスマネジメントシステム)の概要

1.はじめに

ISO29990:2010(非公式教育訓練における学習サービス-サービス事業者向け基本的要求事項)とは、学習サービス事業者 及び その顧客を対象とした、学習サービスマネジメントシステム(LSMS:Learning Service Management System)に関する国際規格で、非公式教育・訓練、人材育成の企画、開発、提供に関し、学習サービス事業者(LSP:Learning Service Provider) 及び 顧客に対して、質の高い専門的な業務 及び パフォーマンスを得るためのマネジメントシステムを提供することを目的としています。

続きを読む

ISO39001(道路交通安全マネジメントシステム)の概要

1.はじめに

ISO39001(道路交通安全(RTS:Road Traffic Safety)マネジメントシステム)は、交通事故による死亡者及び重傷者の減少を目的として作られる国際規格です。

2012年9月現在、FDIS(最終ドラフト(原案))の段階であり、2012年10月には正式に発行される予定です。
※追記:2012年10月1日に正式発行されました。

続きを読む

ISO22301(BCMS:事業継続マネジメントシステム)の概要

1.はじめに

東日本大震災やタイの洪水被害において、緊急時発生時の備えや復旧対応など、事業継続計画(BCP)の重要性が再認識されたことは、記憶に新しいところでありますが、事業継続マネジメントシステム(BCMS)に関する要求事項を規定したISO22301(事業継続マネジメントシステム-要求事項)が、2012年5月15日に国際規格として発行されました。
日本では、BCMSに関する英国規格BS25999-2(事業継続マネジメント-第2部:仕様)を認証基準としたBCMS適合性評価制度が運営されていますが、今後はISO22301を認証基準とした制度に移行されていきます。

 

2.ISO22301の構成

ISO22301は、ISO/IEC専門業務用指針 第1部“附属書SL”()に従った1~10の条項で構成されており、「1 適用範囲」~「7 支援」、「9 パフォーマンス評価」、「10 改善」には、他のISOマネジメントシステムとも共通する要求事項が定められています。そして、「8 運用」にBCMSの特徴を表している事業影響分析(BIA)や事業継続計画(BCP)に関する要求事項が規定されています。

各条の要求事項の概要は、次のとおりです。

箇条4「組織の状況」:組織の事業環境を明確にする
箇条5「リーダーシップ」:組織のリーダーが事業継続のための責任権限を明確にし、リーダーシップを発揮する
箇条6「計画」:事業継続の目標を定め、達成計画を明らかにする
箇条7「支援」:事業継続のための資源(人材、インフラ、情報等)を明らかにし、必要なレベルを維持する
箇条8「運用」:事業継続で実際にすること
箇条9「パフォーマンス評価」:事業継続マネジメントシステムの運用状況をチェック、評価する
箇条10「改善」:事業継続マネジメントシステムを継続的に改善する

ISO/IEC専門業務用指針 第1部“附属書SL”:
マネジメントシステム規格の用語及び条項構成についての規定
なお、現在発行されているISO9001(品質)、ISO14001(環境)、ISO27001(情報セキュリティ)なども、“附属書SL”に従った1~10の条項構成に改訂されていく予定です。

3.BCMSの運用

SO22301の「8 運用」には、(1)事業影響度分析及び (2)リスクアセスメントの実施、その結果に基づく (3)事業継続計画の作成、(4)演習及び試験 など、BCMSを構築・運用していくうえで、特に重要な内容について定めてられています。

(1)事業影響度分析(BIA)

事業影響度分析は、対象とする事業又は業務が中断・阻害された場合の経時的な、組織の経営に対する影響度を分析し、事業活動が再開しない期間をどの程度まで許容できるのか(最大許容停止時間)を明確にすることと、復旧のために必要な社内設備や外部の利害関係者(サプライヤ、外部委託先等)との依存関係を特定します。

※クリックすると拡大できます

(2)リスクアセスメント

リスクアセスメントは、対象とする事業又は業務が中断・阻害に追い込まれるリスクを特定、分析、評価し、事業継続計画(BCP)の対象となる事態や事故等(インシデント)を決定します。
また、一般的に、リスクの大小は【リスク=発生可能性×影響度】の計算式による数値で評価します。

※クリックすると拡大できます

 

(3)事業継続計画(BCP)

事業継続計画(BCP)は、事業影響度分析及びリスクアセスメントの結果に基づいて、製品・サービス提供の中断を引き起こす可能性のある事態や事故等(インシデント)が発生した際を想定して作成します。
計画には、以下の内容が挙げられます。

□ インシデント対応体制の整備
□ 通信手段の確保と組織内部・外部へのコミュニケーションの確立
□ 設定した時間枠内で業務継続、または復旧するための手段の確立
□ メディアへの対応
□ インシデント終息後の活動

 

(4)演習及び試験

演習及び試験は、作成した事業継続計画(BCP)が次項を満たすかどうか確認し、改善につなげるために実施します。同時に事業継続計画(BCP)が組織の目標を満たすものであるかも確認します。

□ 想定した手順どおりの結果が得られたか?
□ 初期対応、暫定対応、本格復旧対応等、実作業が適切に区分けされていたか?
□ それぞれの段階の組織、要員の関係、連携は問題なかったか?
□ 想定した時間内でどれだけ作業ができたか?
□ 暫定作業の環境下でどの程度ミスなく事務処理をこなせたか?
□ 暫定作業から本格復旧への移行作業に漏れがなかったか?
□ 手順書、資料などは正確であり、理解しやすかったか?

 

4.ISO22301認証取得のメリット

事業継続マネジメントシステムを導入・運用することで、インシデント発生時の際の的確な対応、素早い復旧・事業継続による競争力の強化を狙えるのはもちろんですが、ISO22301を認証取得することにより、顧客や関係者にBCMSが適切に運用されていることの証明ができます。
また、定期的に審査を受けることにより、BCMSを定着させる上で有効な強制力としても機能します。

ベテラン審査員から視たISO14001の改善- システム・パフォーマンスの継続的改善に向けて

これまでに手がけた多くの審査現場で経験した事例から考えたこと。

ISO14001の付属書には、この規格に規定されている環境マネジメントシステムを実施することは、結果として環境パフォーマンスが改善されることを狙いとしており、各組織がその環境マネジメントシステムを定期的にレビューし、評価するという前提に基づいていると述べられています。また、ISO14001の継続的改善の定義は、“組織の環境方針と整合して全体的な環境パフォーマンスの改善を達成するために環境マネジメントシステムを向上させる繰り返しのプロセス”と定められています。
そこでマネジメントシステムの構築・実施において継続的改善の視点から考えて、必要な着眼点を次に示しますが、これは審査(監査)の焦点とも関連するものです。

続きを読む

ベテラン審査員から視たISO14001の改善 - 内部監査について

これまでに手がけた多くの審査現場で経験した事例から考えたこと。

各企業とも計画的に年1回又は2回の内部監査を実施していますが、内部監査の結果は、不適合ゼロ又は多くても1~2件、観察事項は数件という企業が少なからずあります。
しかも、指摘された事項がシステムの改善(システムが有効に機能しているかの視点)、パフォーマンスの向上等経営に役立つものとは言えない場合があります。
このように価値のある不適合、観察事項が発見できない、あるいは発見できにくい理由は次のように考えられます。

続きを読む