検索
連載

ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審するみならい君のISMS改訂対応物語(6)(3/3 ページ)

みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います。

Share
Tweet
LINE
Hatena
前のページへ |       

移行審査までの計画

なおこ君、審査までに実施すべきことを整理してくれるかな?


はい常務!審査までに実施すべきことは、以下のとおりです!


  • ISMS文書の改訂
  • ISMS文書の改訂版の制定
  • 改訂されたISMSの教育
  • 改訂されたISMSに対する内部監査の実施
  • 改訂されたISMSに対するマネジメントレビューの実施
  • 移行審査の受審


図5 移行審査までの計画(クリックで拡大)
みならい君

なるほど! 移行審査までに、改訂されたISMSに対する内部監査やマネジメントレビューも必要なんですね!


特にマネジメントレビューは、インプットに関する要求事項も変更されているからね。


みならい君

そうですよね、内部監査員に対する、ISO27001:2013の研修も必要になりますね。


あっ、そうよね、監査基準も変更されるわよね。


そうだね、それらの準備も必要だ。


みならい君

ところで常務、基礎的な質問なんですが……。いつまでに移行しなければならないんでしたっけ?


ISO27001:2013が発行された2013年10月から2年間よ!


みならい君

あと10カ月ですね!


移行審査については、認定機関が認証機関に対して、個別に移行審査を設けるのではなく、その2年間に実施されるサーベイランス審査や再認証審査(更新審査)の際に、移行審査を実施することを推奨しているよ。


だから当社は、2015年夏に行われるサーベイランス審査のときに、移行審査を受けるんですね!


みならい君

常務、最後に一つだけ質問させてください。移行審査とは、具体的にどのように行われるのでしょうか?


それ、私も気になるわ!


各認証機関によって異なるけど、サーベイランス審査や再認証審査、更新審査の際に移行審査を受ける場合は、大半の認証機関では事務局の審査時間に、2013年版の移行の状況を確認しているみたいだね。


どのように確認されるのでしょうか?


いくつかの認証機関では、事前にセルフチェックシートを送付して、その結果に基づき、確認しているみたいだよ。


なるほど〜。2013年版で追加、変更された規格要求事項の対応状況を確認するんですね。


みならい君

事務局だけが2013年版の変更点を理解していればいいのかな?


そんなわけないじゃない!


認証機関によっては、トップインタビューで、トップマネジメントに、決定した内外部の課題や利害関係者の要求事項を確認しているようだよ。


みならい君

そうですね、審査で聞かれないからといっても、改訂に関する変更点は、ISMSの適用範囲のスタッフに理解してもらう必要はありますよね!



図6 移行審査の審査計画(例)(クリックで拡大)

みんな理解できたかな? それでは、スケジュールに基づいて、作業を開始しよう!


は〜い!


みならい君

がんばるぞ!


 その後、みならい君の会社は、改訂対応を完了させ、移行審査を終了し、無事にISO27001:2013の移行を成功しました。

 長い間、みならい君のみならい君のISMS改訂対応物語をお読み頂きありがとうございました。今回の連載の内容が、読者の皆さまのISMS改訂対応の成功の一助になることを心より祈願し、結びの言葉に代えさせていただきます。

 みならい君の著者が講師を務める、期間限定ISO27001:2013 ISMS移行実践コース[移行対応のための文例集付き]もぜひ参考にしてください。



ISMS改訂対応のステップ

打川和男(うちかわ かずお)

株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。

2015年1〜3月に開催される「ISO27001:2013 ISMS移行実践コース」(移行対応のための文例集付き)の講師も務める。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る