10月1日にISO27001:2005が改訂され、ISO27001:2013が発効されました。この改訂に基づき、既にISO27001:2005の認証を取得されている組織は、2年以内(2015年10月1日)にISO27001:2013へ移行しなくてはなりません。またこの移行に伴い組織は、主に次のステップを計画的に実施する必要があります。
1.ISO27001:2013の規格理解(ISO27001:2005との差異を理解)
2・ISMS文書の改訂
3.必要に応じてリスク評価の見直し等
4.各種手順、計画書の変更
5.ISO27001:2013に基づくシステムの運用開始
6.内部監査(ISO27001:2013運用後)
7.マネジメントレビュ(ISO27001運用後にも)
8.認証機関から移行審査(維持審査や更新審査のタイミング)を受審
9.ISO27001:2013での認証取得
※この主に9つのステップを余裕をもって、そして有効なシステムとして機能させるために6ヶ月間程度の準備期間が必要と思います
2年間の猶予がある訳ですが、いつ頃移行準備を開始したらいいのでしょうか。基本的には、特に急ぐ必要もないので、あせらずに余裕をもって準備を開始すればよいと思います。その理由は、規格要求が変更されるということで、初期段階では認証機関及び審査員は規格解釈等でばらつきが出る可能性もあります。よって、落ち着いた頃(2015年~)に移行審査を受審された方がよいと思います。
ただ、気をつけなければならないことがあります。
移行審査の基本条件を整理してみましょう(認証機関によって手順が異なりますので、現在認証を受けいている機関に詳細確認してください)。
→ISO27001:2013への移行審査は、年1回の維持審査や3年に1回の更新審査のタイミングで実施されます。
→2015年10月1日までにはISO27001:2013に移行が終えなければなりません。また審査で不適合の指摘があった場合を想定し、是正処置が容認される期間を考慮すれば2015年8月1日頃には移行審査をうけることになります。
組織としていつ移行審査を受けることが可能かを確認をしてみてください。2015年8月頃に審査可能であるならば、一番余裕をもったタイミングで移行審査を受審できます。しかし、例えば11月に審査を受けなくてはならない組織は、2014年11月の審査の時に移行審査を受ける必要があると考えられます(2015年11月の審査時では遅いため)。このような組織は2014年11月の移行審査に向けて、上記の9ステップを踏まえ2014年4月頃から準備をする必要があると思います。
ISO27001:2013への移行は、2015年10月1日まで猶予期間があります。是非、どの時期(2014年なのか、2015年でもよいか)に移行審査を受けなければならないかを確認してみてください。そして、ISO27001:2013への移行を余裕をもって準備してください。そして、せっかくのシステム見直しの機会ですので、更に自分たちの組織にあった、リスクに見合った効果あるISMSへと改善されてはいかがでしょうか。
BTCJはISO27001の移行支援を行っています。お気軽にお問い合わせください。
コメント投稿にはログインが必要です。