ISO27001:決定した管理策の検証プロセスが確認できない

 

業種:情報システム業
審査のステージ:維持審査(移行審査含む)
指摘レベル:軽微な不適合
適用された条項:6.1.3 情報セキュリティリスク対応 c)

指摘内容:
規格要求事項、6.1.3 c)には、
決定した管理策を附属書Aに示す管理策と比較し、必要な管理策
が見落とされていないことを検証するとありますが、
ISMS事務局に確認したところ、
そのような検証プロセスが確認できませんでした。

ISO27001:情報セキュリティ事象の報告をする仕組みがない

 

業種:情報システム業
審査のステージ:更新審査
指摘レベル:軽微な不適合
適用された条項:A.16.1.2 情報セキュリティ事象の報告

指摘内容:
ISMSマニュアルでは、従業員は、情報セキュリティ事象の報告を
行うというルールがありましたが、現場で、確認したところ、
情報セキュリティインシデントの報告ルールはありましたが、
情報セキュリティ事象の報告を行うというルールはありませんでした。
また、情報セキュリティ事象と情報セキュリティインシデントの区別が
理解されておらず、未然に防止を行う仕組みがありませんでした。

ISO27001:内部監査員が力量を備えていることを確実にしていない

 

業種:情報システム業
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:7.2 b)

指摘内容:
情報セキュリティマニュアルでは、
内部監査員が力量を備えていることを
確実にするとしていましたが、
内部監査員であるA氏、B氏に確認したところ、
規格が改訂されたことが周知されていませんでした。
また、実施した内部監査のチェックリストは、
旧規格のものを使用したままでした。

ISO27001:ISMSの有効性評価の記録を保持していない

 

業種:情報システム業
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:9.1

指摘内容:
ISMSマニュアルでは、ISMSの有効性を評価し、
文書化した情報を保持するとしていましたが、
文書化した情報が確認できませんでした。

ISO27001:現場で管理を行っている情報資産が特定されていない

 

業種:印刷業
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:附属書A.8.1.1

指摘内容:
マニュアルでは、部門における情報資産を明確にし、
「情報資産台帳」に特定すると規定していましたが、
現場で管理している顧客資料、設計開発資料等の情報資産は、
「情報資産台帳」に記載がありませんでした。

ISO27001:アクセス権のレビューが行われていない

 

業種:情報システム業
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:附属書A.9.2.5

指摘内容:
管理手順書では、利用者のアクセス権を定められた間隔で見直すと
していましたが、実際に、定められた間隔がどのくらいかは
明らかではなく、また、見直しは行っていませんでした。

ISO27001:事業継続計画において、その手順の有効性が検証されていない

 

業種:情報システム業
審査のステージ:更新審査
指摘レベル:軽微な不適合
適用された条項:附属書A.17.1.3

管理手順書では、システム障害の対応手順が明確化され、
定められた間隔で、その手順の有効性を検証するとしていましたが、
検証は、今まで行われていませんでした。

ISO27001:本業で必要な法令が特定されていない

 

業種:情報システム業
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:附属書A.18.1.1

指摘内容:
マニュアルでは、遵守する必要がある法令等は社内ポータルで明確にする
としていましたが、本事業に関連する厚労省の医療情報システムの安全管理に
関するガイドライン等は含まれていませんでした。

ISO9001:改善活動が次につながっていない


業種:介護サービス
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:8.5.2/8.5.3

指摘内容:
「ヒヤリハット」による改善活動が、今年度は、
12件あることが確認できました。しかしながら、
それに対する是正・予防処置が行われていませんでした。

ISO9001:不適合製品(サービス)を確実に管理していない


業種:情報サービス
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:8.3

指摘内容:
社内でリリース許可が出ていないにも
かかわらず、社外へリリースしている事例が
あり、不適合製品(サービス)を確実に管理して
いることが確認できませんでした。
また、それに対する原因分析も確認できませんでした。

ISO14001:想定した緊急事態訓練が行われていない

 

業種:ばね製造業
審査のステージ:更新審査
指摘レベル:軽微な不適合
適用された条項:4.4.7
 
指摘内容:
放電加工機には約200Lの危険物(4類3石)が入っており、
油漏洩が緊急事態と設定され緊急事態手順書が整備されていたが、
実地訓練が一度も行われていなかった。

ISO14001:産業廃棄物の実績報告がされていない

 

業種:製造業
審査のステージ:維持審査
指摘レベル:軽微な不適合
適用された条項:4.4.6

指摘内容:
廃棄物管理手順書には、毎年、6月30日までに、行政に、
事業所から排出した産業廃棄物の実績報告を行う、としていましたが、
今年は、報告が行われていませんでした。
※廃掃法12の3の7