|
|
|
ISO事務局(プロジェクトチーム等)がシステム構築を進める上で、疑問点や判断に迷う場面が少なからずあります。
その時はメールによるお問い合わせにお答えいたします。
電話による質問を避けてメールでの問合せとしているのは、当オフィス側の不在が多く電話に出られない事情もありますが、質問者が不明な事をメールに書き込む事で、質問の内容が整理される効果が期待しているからです。
そして、チームメンバーにはCCで送ることによって情報を共有することができます。
電子メールを使った質問の内容は文書に内容確認依頼だったり、単純な疑問だったり多岐にわたります。
どのような疑問にもお答えする体制を提供いたします。
メールを活用したコンサルタントの提供では、添付メールにて機密情報の送信や受信が生じます。
この機密情報は可能であれば公開鍵と秘密鍵による暗号化と、複合化を行うことによりセキュリティを高めたいと考えています。
暗号アプリを導入していただき貴社の「公開鍵」を送っていただければ、当オフィスの「公開鍵」をお知らせいたします。
暗号化アプリは無料のFileCapsule(ファイルカプセル)を想定しています。
このアプリはWindowsストアでも取り扱っている暗号化、復号化アプリなので、信頼性が高い事はマイクロソフトが保証していると考えられます。
詳細は「暗号化アプリFileCapsuleについて」をご確認ください。
暗号アプリの導入はあくまでも当オフィスからのお願いであって、更にセキュリティの高い方法も受入可能な範囲で対応します。
また、取りあえずPPAP(ZIP+パスワードロック)方式の継続の方針にも対応いたします
電子メールを使った質問・回答事例
品質マネジメントシステム
| 質問 |
弊社QMSにおいて9.3.2 マネジメントレビューへのインプットで項目1)~7)までありますが、
審査員の懸案事項No.6には、不足している事項があるとされています。
懸案事項にて指摘されている事項をQMSに追記して、マネジメントレビューでの報告事項に追加した方がよいのでしょうか。
QMS別紙2「品質保証体制に関する役割分担」につきまして、要求事項がISO9001 2015版の要求事項と異なるとの指摘がありました。
どのように修正すればよいでしょうか?
|
| 回答 |
1.マネージメントレビューの件
添付の資料「対応案」を参考に以下のような順番で作業を進めてください。
①マニュアルの改訂
②マネジメントレビュー議事録の修正
③マネージメントレビューの実施
④マネジメントレビュー議事録の作成
|
| 質問 |
以前いただいたサンプルには「管理責任者」とありますが、(QMSにも多々、管理責任者とありますが、)「管理責任者」とは、各事業部長のことでしょうか?
それともQMSもしくはISO9001運営の管理責任者のことでしょうか?
どのように修正すればよいでしょうか?
|
| 回答 |
旧規格では品質管理責任者だった言い方が、現行の規格では管理責任者となっているので、ご提供した品質マニュアルでは品質管理責任者と管理責任者が混在しております。
管理責任者の丁寧な言い方が品質管理責任者とお考えください。
QMSとEMSを同時に運営している会社では品質管理責任者、環境管理責任者の使い分けをしております。
貴社が今後環境マネジメントシステムを運用するのであれば、今から品質管理責任者に統一して置けば良いと思います。
|
| 質問 |
取り急ぎ、品質マニュアル、内部監査資料、目標進捗表を送信いたします。
ご確認の程、よろしくお願いいたします。
|
| 回答 |
品質マニュアルの13/34の8.2.1営業(登録対象外組織)の表記は括弧内を削除してください。
品質マニュアルの10/34の「構成会社」の表記は変換ミスですから「校正会社」に変更してください。
|
| 質問 |
品質に関係する実行項目のみ記載すれば良いのでしょうか?
例えば、営業部では「新規案件の獲得」とか総務部の「損益計画と実績の作成」などは品質とは関係がないので対象外となりますか?
以上、ご教授の程、よろしくお願いいたします。
|
| 回答 |
ご質問の目標管理に取り上げるテーマの営業部の「新規案件の獲得」は顧客満足の向上、拡大の観点から該当します。
総務部の「損益計画と実績の作成」も規格本文0.1一般の「パフォーマンス全体を改善し持続可能な発展への取組のための安定した基盤を提供する・・」に合致します
ISO9001は会社運営の総合的なマネジメント手法ですから多くが該当するはずです。
|
情報セキュリティマネジメントシステム
| 質問 |
リスクアセスメント全体編の作成を開始していますが、その中で1点確認をお願いしたい項目があります。
No.4(OA機器のセキュリテイ)
『管理の必要性、リスク等』欄に記載の「ネットワークに接続されたプリンタ等は適切に管理されなければならない」と記載されていますが、複合機(プリンタ)のセキュリテイ管理とは具体的にどのような点でしょうか。
排出される紙媒体のことでしょうか。
ご教授をお願いします。
|
| 回答 |
お問い合わせの件、一般的には以下が考えられます。
1.常識として外部に直接接続されていない事
2.管理者権限の設定
3.接続を許可するPCのIPフィルタリング
4.メーカー提供のファームウエアの最新化、バージョンアップ
5.可能ならばPCとプリンタ間の暗号通信
|
| 質問 |
**月**日に仮版として確認をお願いした「情報資産台帳_ハード・設備編」の改訂版【第*版】を添付します。
黄色網掛け箇所は継続して確認中です。
本版についてご確認・ご指摘を**月**日までに頂けないでしょうか。
宜しくお願いします。
|
| 回答 |
情報資産台帳_ハード・設備編【第*版】の内容は現時点で明らかな問題は無いように思います。
引き続き黄色の網掛け部分の確定を行えばよろしいかと考えます。
|
| 質問 |
ISMSの**審査は**/6-7に行われます。
今回は本社に限定している適用範囲を全社に広げることを聞かれるのではと思います。どのように対応したら良いでしょうか。
|
| 回答 |
SMSの登録範囲は従来からの主張である①、②、③をしっかりと説明することに加え④も加えて主張してください。
①対象業務に係る管理されるべき情報の収集、管理、利用はISMS登録部門が中心となること。
②外部委託先についてもISMS 登録部門の管理による。
③ISMS登録部門外との情報のやり取りは高度な管理を必要としない。
④ISMSを運営した結果、登録範囲に係わるインシデントは発生していない。
万が一意見の食い違いが出た場合は相談してください。
|
| 質問 |
リスクアセスメント規程に記載の「機密性」評価基準について、弊社内での理解を深める目的で、添付のような資料を作成しました。
認識違い等あれば、**月**日までにご指摘頂ければ幸いです。
宜しくお願いします。
|
| 回答 |
ご質問の件、問題ありません、わかりやすく整理していると思います。
最近のはやりとして個人情報に併記する形で「マイナンバー」をあえて記述する会社が増えてきました。
|
|
以上
|
|
|