久しぶりにISOマネジメントシステム規格の話題です。
私は環境や食品安全の管理規格には詳しくなく、
品質(ISO9001:2008)と情報セキュリティ(ISO27001:2005)しか知らないのですが、
これらの要求事項に目を通されたことがある方なら、
共通する内容が多いことが分かると思います。
部分的には、完全に一致する箇所もあります。
(原文である英語が同一でも、日本規格協会による和訳が
微妙に異なる箇所もあります。不思議です。)
「似ている部分」と「それぞれの規格に固有の部分」を見比べているうちに、
どちらの要求事項も、3つのカテゴリーに分けることが出来るのではないかと思い、やってみました。
当ブログをお読みの皆様がISOマネジメントシステム規格を理解する一助になれば幸いです。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
【1:マネジメントシステム全体に関わる、大前提について】
「マネジメントシステムを構築する上での心得」と言い換えることも可。
プロセスアプローチについての説明や、
経営者のコミットメント、一般要求事項などが該当します。。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
【2:マネジメントシステムの枠組み】
1よりはやや具体的。
実際に組織内にマネジメントシステム(管理体制)を作るうえで
土台とすべき"基本構造"を示す要求事項。
文書、内部監査、マネジメントレビュー、是正処置などに関する要求事項が該当します。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
【3:管理のツボ】
1と2だけでは、実際に何を管理したら品質を管理したことになるのか、
情報セキュリティを管理したことになるのか、全く分かりません。
その"何"を示しているのがこのカテゴリーです。
当然、内容は品質と情報セキュリティとで大きく異なります。
品質においては、顧客関連や設計・開発、購買などについての要求事項が該当します。
情報セキュリティにおいては、付属書Aにある「133の管理策」が
このカテゴリーに該当すると思います。
・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・
大雑把な分類ですが、いかがでしょうか。
分かりやすい要求事項のみ例示したので、その他の要求事項がどのカテゴリーに属するかは、
また、そもそも3つというカテゴリー数が妥当かどうかについては、
人によって様々な意見があるものと思われます。
1と2については、品質も情報セキュリティも、内容は概ね共通しています。
抽象的な分汎用性も高いので、これらの要求事項をベースとして、
必要に応じて多くの「○○マネジメントシステム」が作れるのではないでしょうか。
1から3にかけて、抽象的な要求が徐々に具体的な要求になって来るわけですが、
実務レベルで何をしたらいいのかは、結局最後まで触れられていません。
あくまでもマネジメントシステム(管理体制)についての要求事項なのですから、
組織内の管理職層向けに管理のツボまでを示すことが出来ればそれで十分だ、と
割り切っているものと思われます。
そもそも、あらゆる業種業態に適用できなくてはいけないので、
実務レベルのことなんて書きようが無いのです。
示された管理のツボを、どうやって、どれだけ詳細に、どれだけ頻繁に管理するか、
そのために現場はどう動けばよいのか、といった具体的なことは、
各組織が自分で考えなくて決めなくてはいけません。
(逆に言えば、組織が自由に決めてよい。)
規格要求事項と向き合う際には、コレはそもそもそういうモノなのだと認識し、
決して品質(情報セキュリティ)向上の特効薬だとは思わないことが肝要です。