ISMSの「管理策有効性評価」において、マネジメントレビューはどの段階で実施すべきですか?
ISMS運用開始後初めての「管理策有効性評価」についての質問です。
ISMS認証取得支援ガイド及び無料のコンサルティングによりますと、運用開始後から初回審査までの流れは、大まか「管理策有効性評価→事業継続→内部審査→マネジメントレビュー→認証機関による審査」となっています。
弊社では運用後初回の有効性評価の対象を「A5~A8」としています。管理策有効性評価表のA.5.1とA.5.2では、「マネジメントレビューを行ったかどうか」が要求事項と確認事項(判断基準と理解しています)になっています。
マネジメントレビューはPDCAの最後のステップとして行うはずですが、有効性評価のこの段階でどう対応すればよろしいでしょうか。別の評価基準を決めて代用するんですか。
よろしくお願いいたします。
結論から申し上げますと、初回サイクルにおいては「未実施」として次回の評価対象に回すか、あるいは「実施手順(計画)の妥当性」を評価対象とすることで対応可能です。
附属書Aは時系列で記載されていないため、確認できるものとそうでないものが、タイミングによっては確認できないものもあるかと思います。
よって、マネジメントレビューを実施しているか否かで、その事項を確認するか否かを決めれば良いかと思います。
実施していないのであれば、次回、確認するなどの対応となります。なお、別の評価基準(マネジメントレビューの実施手順は適切であり確立されているか?など)を決めて代用するのも一つの方法です。
ただ、こちらも、実施タイミングの問題なので現時点では未実施、次回確認するでも良いかと思います。未実施であれば、今回分は対象項目から外しても良いかと思います。
附属書AとPDCAサイクルの時間的ズレ
JIS Q 27001の附属書Aに記載されている管理策は、あくまで「実施すべき対策」のリストであり、時系列順には並んでいません。
一方で、ISMS全体のPDCAサイクル(4.〜10.)においては、マネジメントレビュー(9.3)は内部監査(9.2)の後、サイクルの終盤に行われます。そのため、初回運用の「有効性評価」の時点では、レビューが未完了であることは構造上避けられない事象です。
実務的な対応の選択肢
審査機関に対しても整合性を示すため、以下のいずれかの対応を推奨します。
- 「未実施」として記録:
「初回運用につきマネジメントレビューは実施前であるため、今回の有効性評価対象外とする。次期サイクルで評価を行う」と明記する。 - 「手順の確立」を評価:
実施結果ではなく、「レビューの手順が適切に規定され、計画されているか」を評価基準として代用する。 - 評価項目からの除外:
今回の有効性評価からは当該項目を除外し、サイクルが一周した後の評価対象としてスケジュールに組み込む。
審査対応のポイント
審査で重視されるのは「完璧な実施」よりも「PDCAサイクルの整合性と計画性」です。「現時点で未実施である理由」と「いつ実施・評価するのか」が明確であれば、不適合となることはありませんのでご安心ください。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
