気候変動に関してのISOマネジメントシステム規格への追記について
以前、商品をご購入させていただいており、そちらをベースに、ISMS関連資料を作成し、只今、審査の真っ只中となります。
その審査にて、
—
気候変動に関してのISOマネジメントシステム規格への追記について
2024年2月23日に既存のISOマネジメントシステム規格について、気候変動に関する内容が4.1項及び4.2項に追加されました。
—
の記述がない事を指摘されました。
最新の規格には入っているという事だと思います。
この追記に関して、どのように対応すればよろしいでしょうか。
ご質問にあります「気候変動に関する記述」に関してですが、サンプル文書集では「ISMSマニュアル」への追記と「様式(記入例)」への記載にて対応しております。
なお、Ver.241015以前のサンプル文書集をご利用の方は、以下に、記述に関する考え方などを記載いたします。ご参考ください。
ご質問の審査の指摘に関してですが、これは、ISOから既存のマネジメントシステム規格に対して、4.1及び4.2において『気候変動の課題への考慮を求める記述を追加する「追補(Amendment)」』が発行されことによるものです。
追補に関する詳細は、以下の参考URLをご覧ください。
※参考URL
これらの追補は、「組織及びその状況の理解」において、気候変動が関連する課題であるかどうかの決定を求めています。
具体的な例として、以下のようになります。
なお、何処まで対応するかは各社により異なります。ご参考まで。
4.1「組織およびその状況の理解」における事例
- データセンターや事業継続に与える影響
→ 対策の例:データセンターの耐災害性を高める(バックアップ、オフサイト保管など) - サプライチェーンの不安定化が与える影響
→ 対策の例:サプライチェーンの多様化や地域分散化 - 政府規制や業界標準の変化が与える影響
→対策の例:気候変動に関する法規制や業界標準への対応計画 - など
4.2「利害関係者のニーズ及び期待の理解」における事例
- 顧客が求める、サプライヤーに対する気候変動対策。
- 気候変動によって、より厳しくなる顧客からのデータの機密性、完全性、可用性の要求。
- 規制当局からの、気候変動に関する要求事項。
→対策の例:準拠するための情報セキュリティ対策 - 従業員が求める、気候変動に関する情報開示や対策。
→対策の例:気候変動が情報セキュリティに与える影響についての教育・啓発及び内部コミュニケーション - など
組織は、上記の気候変動に関連する課題(状況)を踏まえ、既存のISMS運用と同様に、以下のように実施することになります。
- リスクアセスメントの実施
(気候変動が組織の情報セキュリティに与える具体的なリスクを特定し、リスクの度合いを評価。) - 対策計画の策定
(リスクアセスメントの結果に基づき、具体的な対策計画を策定し、有効性を定期的に評価。) - 情報セキュリティポリシーへの反映
(気候変動に関するリスク管理を情報セキュリティポリシーに明記。) - 「ISMS組織状況管理表」に気候変動に関する記述を追加
以上、ご参考ください。
