2024年11月7日
ISMAPに必要な管理基準3つを解説
ISMAP登録に必要な管理基準は、「ガバナンス基準」「マネジメント基準」「管理策基準」の3種類です。ISMSにおける規格要求事項[JIS Q(ISO/IEC) 27001,27002]にあたるものであり、ISMAPに対応するために考慮しなければならない項目がまとまったものになります。
2021年12月20日
ISMS(ISO27001)の有効性評価のベストタイミングはマネジメントレビューです。
ISMS(ISO27001)の有効性評価とは、運用や対策をした結果、効果があったのか、目標に近づいているかどうかを確認することです。
つまりマネジメントレビューのタイミングで確認することが効果的です。
有効性評価とは、効果があったかどうかを判断することです。
例えば、リスクへの対応計画。 重要資産に対して想定されるリスクに何かしらの対策を施したとしましょう。
しかし、対策をしたら終わりではありません。対策した結果何もしなかった時よりもリスクが軽減されたかを判断する必要があります。
対策を施したことによりリスクが軽減されていればその対策は有効といえ、リスクが軽減されていなければその対策は有効でなかったと言えます。
想定したリスクが起こっていないか、で判断するとわかりやすいですね。
有効性がなければ別の対策を施す必要があります。
このように、運用や、対策した結果、有効性があったか(効果があったか)を確認することが有効性評価です。
有効性評価を行うことで、マネジメントシステムを改善していくことができます。
是正処置とは、言い換えれば再発防止という意味です。
是正処置は内部監査などで不適合が発生した際に必要になってきます。
例えば、お水が入ったコップを机の上で倒し、水をこぼしてしまったとしましょう。
机にこぼれてしまった水を拭くのが「処置」です。 もう水をこぼさないように、コップではなくペットボトルの飲料を飲むようにするというのが「是正」です。
イメージがわきましたでしょうか?
ISMS(ISO27001)では内部監査をした際にも、不適合は発生すると思います。
不適合が発生した場合には、是正処置が必要になりますが、その是正処置がただの「処置」にならないよう注意する必要があります。
是正処置のステップとしては、まずは不適合が発生してしまった「原因」を分析するところから始めましょう。
原因は何なのか分析していくことが重要です。
不適合の内容にもよりますが、「そもそも手順・ルールがない」、「認識がなかった」などが原因としてよく挙げられます。
原因を特定した後は、まず不適合を改善しどうすれば再発しないかを考える必要があります。
原因が「手順がない、ルールがない」であれば、再発防止策として新しく手順を立案する必要がありますし、「認識がなかった」のであれば、認識をしてもらうよう教育をする必要があります。併せて、同様の不適合が発生しないかどうかも見直しをしておきましょう。
このように、不適合の原因を分析し再発防止策を立案していくことが是正処置となります。
もちろん、是正処置も有効性評価の必要があります。
先ほどの事例の場合、ペットボトルに変更した結果、水をこぼしていないかどうかの確認ですね。
是正処置した結果、効果があったかはレビューをするようにしましょう。
では結局ISMS(ISO27001)における有効性の評価はいつ誰がやるのかというと、マネジメントレビューの際にトップが行うと効果的です。
マネジメントレビューの目的は、ISMS(ISO27001)の1年の運用の結果を管理責任者がトップに報告し、次年度のアウトプットを貰い、改善することです。
そのため、マネジメントレビューの時が有効性の評価のタイミングと言えます。
その他、先述したとおりリスク対応計画の有効性評価や、是正処置の有効性評価も必要ではありますがその全てをマネジメントレビュー時にトップに報告し次年度のアウトプットを貰うという意味でも、マネジメントレビュー時が最適でしょう。
ISMS(ISO27001)における有効性の評価のベストタイミングはマネジメントレビューです。
有効性評価をし、マネジメントシステムを改善していきましょう。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せはこちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約はこちらから
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください