独立したレビューとは?

独立したレビューとは?

独立とは何が何に対して独立か。ISMSを推進している人(組織)に対して客観性を維持できる人・組織あるいは場の意味で独立していること。

普通に考えればマネジメントレビューが一番近い。この時に重要なのは内部監査責任者の立ち位置である。

マネジメントレビューでは情報セキュリティ管理責任者が経営者に報告し指示を受ける訳だが、情報セキュリティ管理責任者の一方的な言い分・報告をベースにしていたのでは客観性は維持されないくい。内部監査責任者が情報セキュリティ管理責任者と対等なスタンスでカウンター報告が同時にされなければいけない。

内部監査責任者が情報セキュリティ管理責任者の配下のものであってはならない。

繰り返すことになるが、マネジメントレビューの場で、内部監査結果報告が情報セキュリティ管理責任者からなされてはいけない。

マネジメントレビューの前に、内部監査責任者は監査計画および監査結果についての承認を経営者から得ることが望ましい。内部監査責任者は経営者に成り代わってISMSを点検しなければいけない。

.*.

初期段階、規模の小さな組織では、ISMSの事務局の人間が内部監査まで担当している。開発製造担当が品質保証も兼務しているようなもの。

工程能力の関係で止むを得ない状況だが、こういう場合もどのようにして客観性を確保するかが工夫のしどころです。

.*.

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿