認証の意思決定(PartⅢ)
ここからは私がコンサルティングを行う場合の事例です。
プロジェクトチームのミーティングに私が参画します。ま、実際には私がリードするのですが…
私の場合、最初に審査機関を決定し、審査日を決めてしまいます。
第1回のミーティングから5か月後に第一段階審査、6か月後に第二段階審査です。
何のかんのいっても、第二段階審査はプロジェクトのゴールというか、区切り。
まずは、その区切り、とりあえずのゴールを決めてしまいます。
先にゴールを決めると、“いつまでに”“何をする”を決めやすくなります。
一番よくないのは、“時間があるときにやる”です。これは、“何もしない”の同義語。
ちなみに“考えておきます”はお断りということが多いですよね。
おおまかな工程は前半3ヶ月がマネジメントシステム構築、後半3ヶ月がマネジメントシステムの運用。
まずは、マネジメントシステムの設計。
現状をベースに規格要求を満たすように構築するか、あるいは何らかの改善を盛り込むか。
個人的には現状をベースとして早期に認証し、認証後に改善に取り組むことを勧めます。
改善を盛り込もうとすると、その案について議論し、決定することになりますが、意外と時間がかかります。つい、いろいろと考えてしまうのでしょうね。
次に文書の構造。
少人数の組織の場合、文書の数は少なく、ひとつひとつの文書は薄く、を基本に考えています。
そもそも、少人数組織では文書を改訂することは難しいです。
ISO27001の場合、おおよそ以下の文書を作成します。
・マニュアル フローや表を中心。間違っても規格要求事項のオウム返し、コピペはしません。
・適用宣言書 採用した管理策の簡単な手順を含めて作成
・書式 すでにあるものは最大限に利用し、新規作成を極力少なく
・その他 例えば、社内ITインフラの構成図ですが、お客様に作成していただきます。
マネジメントシステムの設計は以上です。
次回はプロジェクトのミーティングでの実施内容を書きますが、参考までに弊社のコンサルティングのご案内を添えます。
---------------------------------------------------------------


