先日、ISO27001(ISMS)のサーベイランス審査が完了しました。
もちろん不適合なし!観察事項もGood Pointをいただきました。
ISMSは年一回、審査員が現地を訪れ、要求事項を満たしているか、
実地で審査を行することが求められています。
当社は2007年に認証を取得して以来、何度も審査を受けましたが、
審査前はいまだに緊張します。
さて、「ISO27001:2005」は、昨年に新しい規格「ISO27001:2013」が発行され、
既存の認証取得者は2年以内に新しい規格に移行しなければなりません。
当社の場合は次回のサーベイランス審査の時期に更新するのが理想です。
新しい規格書に目を通しておこうかな、と価格を見たらなんと18,060円!!
ISO本家の規格書ってハンパなくお高いです。。。
本家ではなく日本のJIS化されたものは、ダウンロードで3,000円程ですが、
新規格のものはまだ発行されていませんでした。
これ、2年の移行期間で間に合うのかな?
とにかく早く手に入れなければ来年の審査準備に間に合いません。
ところで、審査員さんと雑談中
「規格書を読んでいる担当者さんは少数派ですよ。全体の1割ほどじゃないですかね・・・」
という話を聞き驚愕しました。
うーん、規格書読まなくて運用できるのか・・・と驚き半分、呆れ半分。
守れないルールを作って、審査の時だけ取り繕うなんて話をよく聞きますので、多いのかもしれません。
ISMSの取得や取得後の運用に苦労されている方、
コンサルタントに頼らず自力かつ最小規模で取得した私がお勧めする方法は、まずは規格書をじっくり読むこと。
「しなければならない」と書かれているのは「たった13ページ」しかありません。
規格書を全く読まず、「ISO27001の取り方」みたいなガイド本だけ読んだり、文書テンプレートをコピーする、コンサルタントの言われるがままに構築する、前任者からマニュアルだけ引き継ぐと決して良い運用はできないと思います。
