ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

定期審査で「予防処置も実施して事前に対応する様に」といわれたが、様式例はありますか?

08.02.2019
ISMS全般.  115 views

ISMS定期審査で、「是正処置も重要であるが予防処置も実施して事前に対応する様に」という改善の機会を頂きました。

ISMSの記録様式で、是正処置要求・報告書はありますが、予防処置に関連する様式の例はありますか?

ご質問にあります「予防処置」に関してですが、ISO 27001:2013(JIS Q 27001:2014)では、その記述がなくなっております。
規格書の「解説 / 3 審議中に特に問題となった事項 / b) 予防処置(preventive action)の用語の削除」にも、以下のように書かれています。

「マネジメントシステムそのものが予防処置であるとの理由で,従来用いられていた予防処置の用語は削除された。
なお,用語は削除されたが,概念としては,組織の状況(箇条4 における外部及び内部の課題)及び計画段階(箇条6におけるリスク及び機会に対処する活動)に含まれている。」

審査員と質問者のやり取りがどのようなものだったのかは分かりませんが、敢えて予防処置に変わる項目として指定するならば、「4.1 組織及びその状況の理解」と「6.1 リスク及び機会に対処する活動」になるかと思います。

「4.1 組織及びその状況の理解」では、組織の目的に関連し、意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を広い視点で評価をすることを要求しています。
さらに「6.1 リスク及び機会に対処する活動」においても、広い視点で情報セキュリティマネジメントシステムが、規定した課題に対して、意図した成果を達成できること確実にすることを要求しています。
これらの2つの要求事項は、不適合の発生となりうる外部および内部の課題を決定し、ISMSの構築・運用を通じて適切に対処することを意図しており、従来の「予防処置」の概念を網羅しているものと考えられます。

よって、上記の理由から、旧版の予防処置に関連する様式とは少し記載内容などは異なりますが、サンプル文書の「ISMS-A02-D05 ISMS組織状況管理表」が予防の様式の1つにあたかと思います。