はじめに
スカイアーチネットワークス(以下、当社)は、ISO運営委員会という組織を設け、日々ISO活動に取り組んでいます。以下に、当社の主な活動や取り組みについて説明します。
こんなことやってます(審査振返り編)
ISO審査は何を見られるのか
1 |
<b>規程と運用記録は準備必須</b> |
ISO審査が始まると、審査員から「この規程を見せてください」とか「実施した運用記録を見せてください」などと言われます。私は準備した規定や運用記録を下記の順番で説明するように心がけています。
①規程に記載されている内容(前提となるポリシーやルール)
②規程に則った計画(Plan)
③実際に行った運用記録(Do)
④運用記録を分析して洗い出した課題(Check)
⑤課題の改善するための今後の方針(Action)
ちなみに、どこかが漏れるとそこからどんどん質問されます。
1 |
リモート参加でもOK |
ISO審査は基本的には対面行われます。
当社の場合は広めの会議室を審査期間中貸し切りにして、プレゼンテーションを行います。ファシリテーターとして代表者が進行と概要の説明を行い、より詳細な運用の話を聞かれると想定される場合は、実際の担当者を事前にアサインして説明を行うようにしています。その際は、Zoomを有効活用しています。
ただ、責任者、ファシリテーター、記録係は対面でいたほうが良いと思います。
Goodポイントをもらえる場合も
1 |
<strong>審査終了後にフィードバックがもらえます</strong> |
審査スケジュールがすべて完了すると最後に審査員からフィードバックがもらえます。
その場で合否が出ることはありませんが、フィードバックの感触でだいたいわかります(笑)当社では認証を継続し続けていますが、ここ数年でGoodポイントをいただくことが増えてきています。内容としては、新しい取り組みを始めたり、より良い改善のエビデンスを提示すると高評価をもらえる印象です。
やはり第三者機関に評価いただけると、やる気もあがります。ちなみに直近3年の推移は下記の通りです。
【Goodポイントの推移】
2021年 5件
2022年 6件
2023年 7件
最後に
ISO認証を継続する上での最大のイベントは年1回の審査ですが、実は日々の運用のほうがとても重要です。
規程に定義した内容通りに業務を運用して、その記録を常に残すことが必要となります。(これがとてもめんどくさいのですが)今後は、工数を抑えるために自動化を推進することもありかなと考えています。
ISOを担当されている方に少しでもご参考になれば幸いです。
投稿者プロフィール
-
2019年に入社
ISO活動を推進してます。社内にISOマインドを浸透させる方法を模索中
最新の投稿
- ISO2024年10月2日ISO27001新規格への対応に合格しました!!!
- ISO2024年6月27日ISO27001新規格対応の軌跡
- システム2024年6月3日WavePROに新機能を追加しました!!!
- ISO2024年5月7日セキュリティ教育の取り組みと成果