Case Study
マネジメントシステムの統合を支援します
統合でスマートな運用を目指す
統合と同時にスリム化を支援
2020年は主にISMSとQMA(品質マネジメントシステム)との統合支援を実施させていただきましたが、下期より改正対応とともにSMS(サービスマネジメントシステム)との統合支援を開始しています。
統合はISOのみならず、ISO 27701(PIMS)・ISMAPやNIST CSFとの整合にも対応します。さらに、ISO/IEC 27017に基づくクラウドセキュリティについては拡張を支援します。
QMS + ISMS統合
品質マネジメントシステムと
情報セキュリティマネジメントシステムの統合
既存の「品質マニュアル」と「ISMSマニュアル」を統合し
『マネジメントシステム推進マニュアル』として運用します。
QMSに対してリスクマネジメント機能を強化し、全社的リスクマネジメント体制を構築し「品質を損ねるリスク」と「情報セキュリティリスク」への対応を効率的かつ効果的に運用できる体制をつくります。標準的なプロセスとして、キックオフ後に監査チームを派遣して臨時監査を実施しQMSとISMSの現状を確認し統合計画を作成して作業を進めます。
改正SMS + ISMS統合
ISO/IEC 20000-1:2019(改正)
ISO/IEC 27001:2013
ITSMSはSMSに改正されました
改正対応と共にISMSとの統合を支援します
既存の「ITSMSマニュアル(旧版)」と「ISMSマニュアル」を統合し
『マネジメントシステム推進マニュアル』として運用します。
既存のITSMSを改正20000-1(SMS)へ移行させると同時に、ISMSと整合させます。リスクマネジメント機能を改善し、全社的リスクマネジメントを実現できるように「サービス品質を損ねるリスク」と「情報セキュリティリスク」への対応を効率的かつ効果的に運用できる体制をつくります。標準的なプロセスとして、キックオフ後に監査チームを派遣して臨時監査を実施しITSMSとISMSの現状を確認し統合計画を作成して作業を進めます。
主要なマネジメントシステム規格比較
「ISO/IEC 専門業務用指針 第1部 統合版ISO補足指針」の「附属書SL(規定)マネジメントシステム規格の提案」に示された「合意形成され、統一された、上位構造、共通の中核となるテキスト、並びに共通用語及び中核となる定義」これにより、マネジメントシステム規格(MSS:Management System Standards)の一貫性及び整合性を向上させることがその狙いで、今後すべてのMSSはこの附属書SLを適用することになりました。
ISO/IEC 27001(ISMS)箇条 0.2 他のマネジメントシステム規格との両立性
この規格は、ISO/IEC 専門業務用指針 第 1 部 統合版 ISO 補足指針の附属書 SL に規定する上位構造(HLS)、共通の細分箇条題名、共通テキスト並びに共通の用語及び中核となる定義を適用しており、附属書 SL を採用した他のマネジメントシステム規格との両立性が保たれている。
附属書 SL に規定するこの共通の取組みは、二つ以上のマネジメントシステム規格の要求事項を満たす一つのマネジメントシステムを運用することを選択する組織にとって有用となる。
ISMS + ISO/IEC 27701(PIMS)実装
ISO/IEC 27701:2019 プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002 の拡張-要求事項及び手引
ISO/IEC 27701に基づく認証は、ISO/IEC 27001に基づく認証の拡張となることから、ISMS適合性評価制度の一環となる予定です
(出典:ISMS-AC)
27701実装支援ガイドブックを発行しました
ISMSとの関係と管理策実装の手引き
規格邦訳原文に解説をつけてわかりやすく
A4カラー80P 1適用範囲 2規範的な参考文献 3用語、定義および略語解説 4全般
5 ISO / IEC 27001に関連するPIMS固有の要件
6 ISO/IEC 27002に関連するPIMS固有のガイダンス
7.PIIコントローラーに関する追加のISO/IEC 27002ガイダンス
8.PIIプロセッサの追加のISO/IEC 27002ガイダンス
附属書A(規定) PIMS固有の参照制御の目的と制御(PIIコントローラー)
附属書B(規定) PIMS固有の参照制御の目的と制御(PIIプロセッサ)
附属書C(参考)ISO/IEC 29100へのマッピング
附属書D(参考)一般データ保護規則へのマッピング
附属書E(参考)ISO/IEC 27018及びISO/IEC 29151へのマッピング
附属書F(参考)ISO/IEC 27701を 27001及び 27002に適用する方法
詳しくは電子版で閲覧が可能です
公式ブックストアで購入可能です
ISMS と ISO/IEC 27701(PIMS)の関係
ISO/IEC 27701は実施の手引きと要求事項の一体構造です
| 本文箇条5 |
ISO/IEC 27001に関するPIMS固有の要求事項及び関連情報を規定 |
|---|---|
| 本文箇条6 |
ISO/IEC 27002の情報セキュリティ管理策に関するPIMS固有の手引及び関連情報、並びにPII管理者又はPII処理者のいずれかとして活動する組織のためのPIMS固有の手引を規定 |
| 本文箇条7 |
PII管理者のためのISO/IEC 27002の追加の手引 |
| 本文箇条8 |
PII処理者のためのISO/IEC 27002の追加の手引 |
| 附属書A | PII管理者のためのPIMS固有の管理目的及び管理策を規定 |
| 附属書B | PII処理者のためのPIMS固有の管理目的及び管理策を規定 |
| 附属書C | ISO/IEC 29100に対する対応付け |
| 附属書D | GDPRへの対応(管理策のマッピング) |
GDPRへの対応
ISO/IEC 27701 附属書Dでは、PIMS管理策についてEU一般データ保護規則(GDPR)に対する対応付けが記載されています。
欧州連合(EU)では、個人情報(データ)の保護という基本的人権の確保を目的とした「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」を2016年に発効、2018年5月から適用が開始されています。GDPRは、EUを含む欧州経済領域(EEA)域内で取得した個人データを域外に移転することを原則禁止しており、現地の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員も含まれるため注意が必要です。行政罰規定があり、違反行為に対しては、高額の制裁金が課されるリスクもあります。
Price
支援料金表
| 事前相談 | 1.5時間2回まで 無料(全国リモート対応) |
|---|---|
| 入会金・会費 | Cloud for LMS登録・年間利用料を含む MSQA法人会員入会金:30,000円 MSQA法人会員年会費:36,000円(Cloud foe LMS専用コース利用料) ※管理者アカウント3名及び50名までのユーザーアカウントを含みます |
| 監査業務委託 | 監査チーム派遣(MSQA会員価格) 1人日 120,000円〜 臨時監査:現状調査(フィトアンドギャップ分析)を目的とした臨時監査を実施しパフォーマンス評価を実施しスリム化の方針や是正計画立案を支援します。 内部監査員育成支援 |
| 教育研修 | 講師派遣・リモートによる教育研修(MSQA会員価格) スリム化研修 1回3時間:60,000円〜 管理技術者認定研修プログラム(審査員研修コースを含む) |
| スリム化支援 | 訪問/リモートコンサルティング (MSQA会員価格)1回 1時間:15,000円〜 文書作成支援(別途見積) |
| 標準様式やサンプル提供 | Cloud for LMS専用コース内に実装して提供します MSQA法人会員年会費に含まれます |
| 上記価格には別途消費税が加算されます |
