★ 本記事のテーマ
ISOでは必須ではなくなったマネジメントマニュアルですが、
割と提出が求められるものです。
手間をかけないためにも
シンプルであることが最も大事です。
- ①マネジメントシステムのマニュアル
- ②ISMSマニュアルの注意点
- ③ISMSマニュアルをシンプルに作成することが重要
①マネジメントシステムのマニュアル
品質にも、「品質マニュアル」があります。
品質マニュアルの書き方や運用について
ブログ記事を紹介します。
 |
【品質マニュアルがわかる】リンク 書き方、運用のポイントをわかりやすく解説します! |
元々は最上位の重要文書だった
マネジメントシステムのマニュアルは
元々は最上位文書でした。
ISO要求事項は、文書管理をベースとしていたのが背景です。
現在のマニュアルはオプションの位置
ISO9001 2015以降、マニュアルは
ISOの最上位文書から、
オプションの位置でよいと
暗に伝えています。(明確には書いていませんけど)
その理由は、
文書化した情報
へ変わったからです。
でも、マニュアル提出を要求される場合が割と多いから作成する
じゃー、マニュアルは要らない!のか?
というと、
例えば、
- 監査、審査にむけて、組織のマニュアルを提出要求される。
- 「品質マニュアル」の場合、「公共案件受注」の時に顧客から提出要求される。
- マニュアル整備しておくと、印象がよい。
- 自組織の規程類だけで定義しきれないものがある。
なので、
ただし、手間がかかるのでシンプルにしたいですよね。
よくあるマニュアル構成
いろいろな組織の監査や、
マネジメントシステムの講習演習などで、
マニュアルを見てきました。
ほとんどのマニュアル構成は以下となっています。
自組織の場合を追記する。
品質マニュアルの場合だと40ページくらいになる
手間がかかるがそれなりに仕事している感じになる。
②ISMSマニュアルの注意点
注意点は、
マニュアルにすると大変!
ISO27001では、
30超の要求事項+93管理策
があります。
この文面を写し、
さらに、自組織の場合を追加すると、
一回100ページ超のISMSマニュアルをみたことがありました。
なぜ大変かというと、
- ページ数が多く手間。
- 各内容との整合を合わすのがもっと手間。
- マニュアル整備から承認まで手間。
- マニュアルと自組織の規程や運用との整合を合わせるのも手間。
手間だらけです。
③ISMSマニュアルをシンプルに作成することが重要
なので、
です。
では、どうすればシンプルに作成できるかを解説します!
- ISO要求事項は自組織の規程類に落とし込む。
- ISMSマニュアルは規程類などでもどうしても書けない情報と、ISMSの構築構成のみ書けばよい。
- 提出要求される場合、ISMSマニュアルと自組織の規程類をセットで提出すればよい。
どうでしょうか?
マニュアルの設計図
過去に作ったマニュアルを
急に全く異なる構成なマニュアルに
になる点は慎重にすべきですが、
マニュアルの設計図を提唱します。
★マニュアルの中に、必要なもの
マニュアルの中に、必要なものは、
- 適用範囲
- 適用事業
- 引用するISO27001
- 自組織の用語定義
- 自組織の組織体制
- 規程類一覧、
規程類とISO27001要求事項+管理策との関係
★マニュアルの外にしたいもの
としたいです。
こうすれば、ISMSマニュアルが20ページ以内に収まり、
規程類の更新の時だけ、個々のISO27001要求事項+管理策との関係
をチェックすれば効率的な運用ができるからです。
ISMSは大事ですが、煩雑になりやすく
煩雑になると情報セキュリティインシデントの際
身動きがとれなくなります。
そうならないように、シンプルな構成がベストです。
ISOでは必須ではなくなったマネジメントマニュアルですが、
割と提出が求められるものです。
手間をかけないためにも
シンプルであることが最も大事です。
まとめ
以上、「ISMSマニュアルの作り方(シンプルがベスト)」を解説しました。
- ①マネジメントシステムのマニュアル
- ②ISMSマニュアルの注意点
- ③ISMSマニュアルをシンプルに作成することが重要