ISMS運用開始後初めての「管理策有効性評価」について「マネジメントレビューを行ったかどうか」は、有効性評価のどの段階で対応すればよろしいでしょうか。
ISMS運用開始後初めての「管理策有効性評価」についての質問です。
ISMS認証取得支援ガイド及び無料のコンサルティングによりますと、運用開始後から初回審査までの流れは、大まか「管理策有効性評価→事業継続→内部審査→マネジメントレビュー→認証機関による審査」となっています。
弊社では運用後初回の有効性評価の対象を「A5~A9」としています。管理策有効性評価表のA.5.1.2とA.6.1.1では、「マネジメントレビューを行ったかどうか」が要求事項と確認事項(判断基準と理解しています)になっています。
マネジメントレビューはPDCAの最後のステップとして行うはずですが、有効性評価のこの段階でどう対応すればよろしいでしょうか。別の評価基準を決めて代用するんですか。
よろしくお願いいたします。
附属書Aは時系列で記載されていないため、確認できるものとそうでないものが、タイミングによっては確認できないものもあるかと思います。
よって、マネジメントレビューを実施しているか否かで、その事項を確認するか否かを決めれば良いかと思います。
実施していないのであれば、次回、確認するなどの対応となります。
なお、別の評価基準(マネジメントレビューの実施手順は適切であり確立されているか?など)を決めて代用するのも一つの方法です。
ただ、こちらも、実施タイミングの問題なので現時点では未実施、次回確認するでも良いかと思います。
未実施であれば、今回分からは、A.5.1.2とA.6.1.1を対象項目から外しても良いかと思います。
最新規格に対応したISMSやPマーク、ISO9001の取得支援のためのマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売しています。また、取得及び構築支援として、無料にてメールサポートも実施しております。
経歴
- 商品の提供年数:ISO9001は2000年から現在までの25年間。ISMSは2002年から現在までの23年間。プライバシーマークは2006年から現在までの20年間。
- 商品利用者数:5,000件以上(2025年6月時点)。
- 商品利用者の業種:各業種企業、ISOコンサルタント、審査員、審査員研修機関など。
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
