ISMS運用開始後初めての「管理策有効性評価」について「マネジメントレビューを行ったかどうか」は、有効性評価のどの段階で対応すればよろしいでしょうか。
2021/09/28
ISMSサンプル文書集. 2,477 views
ISMS運用開始後初めての「管理策有効性評価」についての質問です。
ISMS認証取得支援ガイド及び無料のコンサルティングによりますと、運用開始後から初回審査までの流れは、大まか「管理策有効性評価→事業継続→内部審査→マネジメントレビュー→認証機関による審査」となっています。
弊社では運用後初回の有効性評価の対象を「A5~A9」としています。管理策有効性評価表のA.5.1.2とA.6.1.1では、「マネジメントレビューを行ったかどうか」が要求事項と確認事項(判断基準と理解しています)になっています。
マネジメントレビューはPDCAの最後のステップとして行うはずですが、有効性評価のこの段階でどう対応すればよろしいでしょうか。別の評価基準を決めて代用するんですか。
よろしくお願いいたします。
附属書Aは時系列で記載されていないため、確認できるものとそうでないものが、タイミングによっては確認できないものもあるかと思います。
よって、マネジメントレビューを実施しているか否かで、その事項を確認するか否かを決めれば良いかと思います。
実施していないのであれば、次回、確認するなどの対応となります。
なお、別の評価基準(マネジメントレビューの実施手順は適切であり確立されているか?など)を決めて代用するのも一つの方法です。
ただ、こちらも、実施タイミングの問題なので現時点では未実施、次回確認するでも良いかと思います。
未実施であれば、今回分からは、A.5.1.2とA.6.1.1を対象項目から外しても良いかと思います。
