ISO27001:2013への移行
ISO27001:2013への移行監査の事例が出てきています。
現在移行の準備を進められている組織も沢山あるかと思いますので、注意点をいくつかあげておきます。
まず、ISO27001の要求事項が統合規格に準拠して、大幅に変更していますので、マニュアルの改訂が必要です。
それから、リスクアセスメントのやり方か簡易化されていますので、アセスメント自体の見直しが必要になります。ただし、見直しの結果同じやり方でもリスクが顕在するのであれば、変更する必要はありません。
また、詳細管理策が大幅に変更になっている関係で、A.5~A.18までの管理策の番号が全て見直されます。従って、適用宣言書や管理策に関係する手順書の改訂が必要になります。
ここからがポイントなのですが、新しい規格で改訂されたマニュアルや手順書での教育が必要になります。そして、ISO27001:2013規格に準拠していることを評価する内部監査を実施して、マネジメントシステムのインプットとなり、P-D-C-Aサイクルが一巡します。
そこではじめて移行監査になりますので、それまでのエビデンスを揃えておいて下さい。そうすれば移行監査の準備は完了となります!