ISMSなどマネジメントシステムについてのFAQ
可能です!ISO/IEC 19011監査の指針『内部監査』の定義(注記)に、『内部監査は、第一者監査と呼ばれることもあり、その組織自体又は代理人によって行われる。』とされています。MSQAでは、新規認証支援時において監査員を派遣して現状調査を目的とした臨時監査により現状を正しく把握した上で計画的に構築及び運用を支援しています。さらに、マネジメントシステム9.2で要求されている内部監査についても同様に主任審査員資格を有するリーダー以下数名でチームを編成して内部監査を代行し更なる改善を提案します。
新規認証種等後も90%以上の企業が内部監査業務について監査チーム派遣を希望されており、監査によるパフォーマンスの見える化・定量的な評価と定量的な目標設定のみ並ぶ、継続的な改善点の提案により、マネジメントシステムのパフォーマンス向上・事業目標達成に貢献できるマネジメントシステム運用に効果的です。
昨今、内部監査コスト軽減及び品質向上を目的として内部監査業務の依頼が増加しており、2022年度から2023年度にかけて全国27社(組織)の内部監査を担当しています。
内部監査の外注については、[お問合せ]フォームからご相談ください。
私たちも10年前は資産台帳を作成し、資産の評価から資産への脅威を特定してリスクアセスメントを実施していました。が、煩雑で手間がかかることからリスクマネジメントが形骸化してしまうことを懸念していました。リスク特定は資産からアプローチするのが常識(普通)とされているようですが、2020年に発行されたISO/IEC 27007「ISMS監査の指針」に『ISO/IEC 27001:2013は、 資産、脅威及びぜい弱性の特定による リスクの特定を要求していない。 事象及び結果を考慮することによるリスクの特定など、他のリスク特定の方法を用いてもよい。』とされ、監査員に対してもリスクアセスメンの有効性を確認するためにリスク特定の方法について先入観を持たないように記されています。
さらに、ISO/IEC 27005:2022「情報セキュリティリスクの管理に関する手引」では、事象ベースのアプローチ法が紹介されています。『事象ベースのアプローチは、詳細なレベルで資産を特定することに多大な時間を費やすことなく、高いレベルの、又は戦略的なシナリオを確立することができる。これにより、組織は自らのリスク対応の取組みを重大なリスクに集中させることができる。』とされており、昨今はこの方法を推奨し実践的な手法を紹介しています。
現在新規認証や運用支援先25社(組織)で、リスクマネジメント実践研修によるワークショップで教育研修+実務とする導入を支援しています。
実践的な導入方法についてはお気軽にお問合せください。
新規認証時に数多くの様式や文書の提供を受けて作成し、初回認証をクリアして認証取得はできたもののそれら文書・記録の維持が目的となってしまって困っているという相談を数多くいただいております。実は、マネジメントシステムが文書化を要求している記録は限られています。事業目標達成を支えるマネジメントシステムが事業・業務を阻害しては本末転倒です。
1.マネジメントシステム運用管理担当者様の作業負担を低減するために、ISMSなどマネジメントシステムを正しくご理解いただくこと。
2.事業・ビジネスに貢献できるシステムを運用するために、ラインスタッフや管理職の意識改革と業務への整合に重点を置いた教育研修を実施すること。
3.本来の目的(意図した成果)を達成するために必要な文書・記録に絞り込み、文書を統合・削減・DX化などの計画に改善すること。
などの方法によりスマートな運用とスリム化を支援しています。
お気軽にご相談ください。
可能です!適用宣言書の移行と同時に、本来の目的を達成できるようリスクレベルに応じた管理策に最適化し有効に機能させるとともに、リスクマネジメントのプロセスを改善し、全社的なリスクマネジメント推進により全従業員のリスク感性を磨き、全社一丸となったISMS運用体制を再構築することが可能です。
組織規模(適用範囲規模)によっては、一度に変更すると負担(リスク)が高まるため、段階的な見直し案を立案して実施しています。
まずは現状をお聞かせいただいた上で、現状調査を実施して無理のない改善計画を作成し支援します。お気軽に[お問合せ]フォームからご相談ください。
クラウドセキュリティ認証についてのFAQ
可能です!ISO/IEC 19011監査の指針『内部監査』の定義(注記)に、『内部監査は、第一者監査と呼ばれることもあり、その組織自体又は代理人によって行われる。』とされています。MSQAでは、新規認証支援時において監査員を派遣して現状調査を目的とした臨時監査により現状を正しく把握した上で計画的に構築及び運用を支援しています。さらに、マネジメントシステム9.2で要求されている内部監査についても同様に主任審査員資格を有するリーダー以下数名でチームを編成して内部監査を代行し更なる改善を提案します。
新規認証種等後も90%以上の企業が内部監査業務について監査チーム派遣を希望されており、監査によるパフォーマンスの見える化・定量的な評価と定量的な目標設定のみ並ぶ、継続的な改善点の提案により、マネジメントシステムのパフォーマンス向上・事業目標達成に貢献できるマネジメントシステム運用に効果的です。
昨今、内部監査コスト軽減及び品質向上を目的として内部監査業務の依頼が増加しており、2022年度から2023年度にかけて全国27社(組織)の内部監査を担当しています。
内部監査の外注については、[お問合せ]フォームからご相談ください。
クラウドサービス名を含む文書化した情報として利用可能な状態にしておかなければならないとされています。適用範囲を決める際、クラウドサービスプロバイダが自らのサービスを提供するに当たり、別のクラウドサービスを利用している場合は、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方を適用範囲としなければならないとされています。(JIP-ISMS517より)
可能です。2023年某メーカー系SIのクラウドサービスに対してISMS認証とクラウドセキュリティ認証の同時取得を目標にアドバイザーを派遣して支援を行っています。昨今、プロバイダーへのセキュリティ要求の高まりから短期での同時認証取得についてのお問い合わせを多数いただいております。
ISMS認証に初めてトライする場合でも、すでにセキュリティ対策が講じられている場合が多く、さらに提供されている既存のクラウドサービスも同様に、クライアント(クラウドサービスカスタマ)への情報提供(仕様・SLA等)や技術的対策が実施されていることが多く、ISO/IEC 27017に基づく管理策(セキュリティ対策)についてもすでに実装されています。
よって、まずは監査チームを派遣して現状を調査(確認)し、ISMSやISO/IEC 27017への適合状況を確認した上で構築・運用を行います。これにより新たな文書・記録の作成を最小限にして認証審査に向けて支援しますので最短での認証取得が可能でます。詳しくは [ お問合せ ]よりご相談ください。
改正ISMS(ISO/IEC 27001:2022)が発行され、2025年10月までに移行が必要となっています。クラウドセキュリティ認証取得組織は、もちろんISMSに基づいていますので、ISMSの改正対応(適用宣言書の移行)が必要です。その際、ISMS附属書A(ISO/IEC 27002:2022)が改正されていることから、JIS Q 27017:2015 「JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」箇条番号と一致しなくなります。多くの組織がISMSの適用宣言書とクラウドセキュリティ認証の適用宣言書を一つにして作成しているか、クラウドセキュリティ認証の適用宣言書内にISMS附属書Aの箇条版を記載しています。よって、ISMS改正対応(移行対応)時に適用宣言書をISMS用とクラウドセキュリティ用に分割することを推奨しており、その作成を支援しています。
適用するサービスが複数存在する場合も、サービス毎に適用宣言書を作成し管理した方が、今後予定されているISO/IEC 27017改正に対応する場合も効率的で効果的であると考えられます。
ISMS改正に伴うクラウドセキュリティ認証(適用宣言書)改正支援を開始しておりますのでお気軽にお問い合わせください。
その通りです。クラウドサービスの内容等は、取引先等によって要求事項や対策も違うものになるでしょうし、提供するクラウドサービスの運用、内容が異なるのであればなるべく区別をして記載ください |
ISMSの拡大により適用範囲に含める必要があります |
クラウドサービスプロバイダが自らのサービスを提供するに当たり、外部クラウドサービスを利用する場合は、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方を適用範囲とする必要があります。 |
クラウドサービスプロバイダが自らのサービスを提供するに当たり、外部クラウドサービスを利用する場合は、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方を適用範囲とする必要があります。 |
一般社団法人マネジメントシステム品質協会についてのFAQ
一般会員は個人会員と法人会員及びパートナー会員に分かれています。いずれの会員も会員専用LMSから各種教材・資料・様式の電子版をダウンロードすることができます。さらに支援サービスや教育研修コースを会員価格で受講することが可能となり、最新情報についても優先的に紹介しています。
パートナー会員は、MSQAとのパートナシップによりMSQAの有する支援コンテンツやノウハウを共有して支援サービス(コンサルティングサービス)を事業として営む個人もしくは法人を対象としています。
パートナー会員の活動
1.マネジメントシステム新規認証取得コンサルテイング
2.マネジメントシステム運用維持支援サービス
3.内部監査業務支援サービス(内部監査員派遣)
4.教育研修の主催(講師派遣)
5.LMSやSMARTリスクマネジメントシステム販促
6.MSQA出版物のOEM販売
その他付帯活動
MSQAでは、上記活動を実施するために必要な人材を育成するため、力量の獲得を目的とした教育研修やOJT・認定を実施しています。
MSQAとの協業や創業を検討されている方は、お気軽にお問い合わせください。