Q:ISMSマニュアルは必要ですか?
マニュアルを要求している規格の代表としてISO9001がありますが、ISO27001では、要求されていません。既に、他の規格を導入されている組織がありますので、要求事項にはなっていないと考えて宜しいと思います。ISO27001を単独で導入する組織では、マニュアルの作成するのも良いと思います。どの程度の内容にするかは、ISO9001の規格を参照すると良いでしょう。但し、ISMS規格の要求する文書・記録は必須です。マニュアルを作成して、ISMS規格の要求する文書の一部を、そこにまとめるのも良策でしょう。蛇足ですが、文書は単純でわかりやすく、出来れば、図表、フロー、プロセスマップ、イラストなどふんだんに使って、一目でわかる文書が使いやすい文書です。
規格要求事項上は必要ありません。これは、ISO14001(環境)、ISO22000(食品安全)も同様です。一方、ISO9001(品質)は、規格として要求しています。「ISMS基本方針」を具体化したものとして、また仕組みの全体概要を示すものとしてあったほうがわかり易いとは思いますが、取り組み企業の判断次第です。中小企業の場合なら、内部監査規程、教育訓練規程、文書管理規程などの規程をいろいろ作るより、マニュアルを作りその中に入れてしまったほうが運用上も楽なように思います。
ISMSマニュアルとう名前である必要はないが、ISO27001では「4.3文書化に関する要求事項」において、ISMS基本方針、適用範囲、ISMSを支えている手順及び管理策、リスクアセスメントの方法、リスク対応計画、有効性の測定方法といった項目について文書化することを要求している。これらに該当する文書が既にある場合は改めて作成する必要はないが、要は、文書化する目的には関係者へのコミュニケーションということがあり、マニュアルもつくらずに、本当に教育徹底できているのかという点について十分に考えてみる必要があるということである。
JIS Q 27001:2006ではISMSマニュアルを作成することが要求されていません。ただ一部の審査機関では試算を受ける上で作成することを前提としているようです。作成しない大きな理由がなければ作成されることをオススメします。
(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)
この情報を登録しますか?
コメント: (スタイル用のHTMLタグが使えます)
マニュアルを要求している規格の代表としてISO9001がありますが、ISO27001では、要求されていません。既に、他の規格を導入されている組織がありますので、要求事項にはなっていないと考えて宜しいと思います。ISO27001を単独で導入する組織では、マニュアルの作成するのも良いと思います。どの程度の内容にするかは、ISO9001の規格を参照すると良いでしょう。但し、ISMS規格の要求する文書・記録は必須です。マニュアルを作成して、ISMS規格の要求する文書の一部を、そこにまとめるのも良策でしょう。蛇足ですが、文書は単純でわかりやすく、出来れば、図表、フロー、プロセスマップ、イラストなどふんだんに使って、一目でわかる文書が使いやすい文書です。
規格要求事項上は必要ありません。これは、ISO14001(環境)、ISO22000(食品安全)も同様です。一方、ISO9001(品質)は、規格として要求しています。「ISMS基本方針」を具体化したものとして、また仕組みの全体概要を示すものとしてあったほうがわかり易いとは思いますが、取り組み企業の判断次第です。中小企業の場合なら、内部監査規程、教育訓練規程、文書管理規程などの規程をいろいろ作るより、マニュアルを作りその中に入れてしまったほうが運用上も楽なように思います。
ISMSマニュアルとう名前である必要はないが、ISO27001では「4.3文書化に関する要求事項」において、ISMS基本方針、適用範囲、ISMSを支えている手順及び管理策、リスクアセスメントの方法、リスク対応計画、有効性の測定方法といった項目について文書化することを要求している。これらに該当する文書が既にある場合は改めて作成する必要はないが、要は、文書化する目的には関係者へのコミュニケーションということがあり、マニュアルもつくらずに、本当に教育徹底できているのかという点について十分に考えてみる必要があるということである。
JIS Q 27001:2006ではISMSマニュアルを作成することが要求されていません。ただ一部の審査機関では試算を受ける上で作成することを前提としているようです。作成しない大きな理由がなければ作成されることをオススメします。