ISO/IEC 17021：2011の概要、及び認定審査

Transcription

1 0203- 移説 IMS-3020 ISO/IEC 17021:2011 の 概要 及び認定審査 2011 年 2 月 3 日 ( 財 ) 日本情報処理開発協会情報マネジメント推進センター審査グループ Copyright JIPDEC,2011 1

2 注意事項 1 本資料の使用目的は 今回の説明会のためのみにて発行されたものです 2 本資料は ISO/IEC 17021:2011 の仮訳を用いているため JIS Q 17021:2011( 予定 ) と異なる可能性があります Copyright JIPDEC,2011 2

3 説明内容 1 ISO/IEC 改訂の概要 2 JIP-ISAC 及び ITAC の概要 3 ISO/IEC 新旧差分の説明 4 ISO/IEC と ISO/IEC との関係 5 移行審査にあたって 5.1 移行審査での不適合の扱い 5.2 Ver.2.2 に基づく MS の運用実績 Copyright JIPDEC,2011 3

4 1 ISO/IEC 改訂の概要 概要 ISO/IEC 19011( 認証に関わる要員の力量, 及び審査に関する部分 ) を第三者認証制度向けにして入れ込んだ これに伴い ISO/IEC の参照部分を削除 ( を除く ) 全体構成 ISO/IEC 17021:2006 ISO/IEC 17021:2011 まえがき序文 1 適用範囲 2 引用規格 3 用語及び定義 4 原則 5 一般要求事項 6 組織運営機構に対する要求事項 7 資源に関する要求事項 8 情報に関する要求事項 10 認証機関に対するマネジメントシステム要求事項 まえがき序文 1 適用範囲 2 引用規格 追加 3 用語及び定義追加 4 原則 5 一般要求事項 6 組織構造及びトップマネジメント 7 資源に関する要求事項追加 8 情報に関する要求事項 追加 10 認証に関するマネジメントシステム要求事項 附属書 A( 規定 ) 追加求められる知識及び技能附属書 B( 参考 ) 追加評価方法 附属書 C( 参考 ) 追加力量判定及び維持のためのプロセスフローの例 附属書 D( 参考 ) 追加望ましい個人の行動附属書 E( 参考 ) 追加第三者審査及び認証プロセス附属書 F( 参考 ) 追加審査プログラム, 審査範囲又は審査計画の考慮事項 Copyright JIPDEC,2011 4

5 1 ISO/IEC 改訂の概要 追加された部分 (7 章 ) ISO/IEC 17021: 資源に関する要求事項 7.1 経営層及び要員の力量 , 認証活動に関与する要員 ~ ~ 個々の外部審査員及び~ 7.4 要員の記録 7.5 外部委託 ISO/IEC 17021: 資源に関する要求事項 7.1 経営層及び要員の力量 一般要求事項タイトル追加 力量基準の決定追加 評価プロセス追加 その他の考慮事項タイトル追加 7.2 認証活動に関与する要員 ~ 注記追加 ~ 個々の外部審査員及び~ 7.4 要員の記録 7.5 外部委託 Copyright JIPDEC,2011 5

6 1 ISO/IEC 改訂の概要 追加された部分 (9 章 ) ISO/IEC 17021: 一般要求事項 審査プログラム タイトル追加 追加 注記 1,2 追加 審査計画 タイトル追加 タイトル, 一部追加 ~3 追加 審査チーム~ タイトル追加 一部追加 ~5 追加 審査工数の設定 タイトル追加 一部追加 追加 9.1.5~9 タイトル追加 タイトル 一部追加 ~8 追加 審査報告書タイトル追加 追加 不適合の原因の分析タイトル追加 タイトル, 注記, 一部追加 ~15 タイトル追加 9.2 初回審査及び認証 申請 申請のレビュー 追加 ~ ~5 9.3~9.15 Copyright JIPDEC,2011 6

7 2 JIP-ISAC 及び ITAC の概要 ISMS 認証機関認定基準及び指針 (JIP-ISAC ) ITSMS 認証機関認定基準及び指針 (JIP-ITAC ) 改訂版発行日 2011 年 2 月 1 日 V2.1 と V2.2 との違い まえがき の部分に次の文章を追加 備考 :JIS Q 27006:2008(ISO/IEC 27006:2007) で参照している JIS Q 17021:2007(ISO/IEC 17021:2006) は それを ISO/IEC 17021:2011 と読み替えて適用する Copyright JIPDEC,2011 7

8 序文 この規格は,JIS Q に関連する参照箇所を削除するための修正を施した JIS Q 17021:2007 の本文に, 第三者認証審査及び認証に関与する要員の力量のマネジメントに関する要求事項を新たに追加している 品質マネジメントシステム, 環境マネジメントシステム又は食品安全マネジメントシステムのようなマネジメントシステムに関して, 第三者機関の審査員に対する具体的かつ認知された要求事項が欠けていることに起因する特定の市場ニーズが既に明らかにされている 審査員の力量及び審査員を管理し, 配置する方法に関する要求事項が欠けていたことが欠点であると, 産業界の利害関係者を含む主要な利害関係者によって指摘されてきた この規格は, マネジメントシステムの審査に関する一連の要求事項を一般的なレベルで提供し, 力量を備えた審査チームによって, 適切な資源を用いて, 一貫性のあるプロセスに従って, 一貫性のある方法で結果が報告され, 該当する認証要求事項への適合性について信頼できる判定が行われることを目指している この規格は, あらゆる種類のマネジメントシステムの審査及び認証に適用できる 幾つかの要求事項, 特に, 審査員の力量に関連する要求事項は, 利害関係者の期待にこたえられるように, 追加の基準で補足することができると認識されている Copyright JIPDEC,2011 8

9 3 用語及び定義 3.4 第三者認証審査 (third-party certification audit) 依頼者及び利用者から独立した審査機関によって, 依頼者のマネジメントシステムを認証する目的で実施される審査 注記 1 この規格では, 審査 という用語は, 第三者認証審査を簡略して指すものとして使用されている 注記 2 第三者認証審査は, 初回審査, サーベイランス審査, 再認証審査を含み, さらに特別審査を含むこともある 注記 3 第三者認証審査は, 一般に, マネジメントシステム規格の要求事項への適合について認証を行う機関の審査チームが実施する 注記 4 合同審査とは, 二つ以上の審査機関が共同で単一の依頼者の審査に当たる場合である 注記 5 複合審査とは, 依頼者が, 同時に二つ以上のマネジメントシステム規格の要求事項に関して審査される場合である 注記 6 統合審査とは, 依頼者が, 二つ以上のマネジメントシステム規格の要求事項を単一のマネジメントシステムに統合して適用し, 二つ以上の規格に関して審査される場合である Copyright JIPDEC,2011 9

10 3 用語及び定義 3.5 依頼者 (client) 認証目的でマネジメントシステムの審査を受ける組織 3.6 審査員 (auditor) 審査を行う人 3.7 力量 (competence) 意図した結果を達成するために, 知識及び技能を適用する能力 3.8 案内役 (guide) 審査チームを手助けするために, 依頼者によって指名された人 3.9 オブザーバー (observer) 審査チームに同行するが, 審査を行わない人 3.10 専門分野 (technical area) 特定のマネジメントシステムに関連するプロセスの共通性によって特徴づけられる分野 Copyright JIPDEC,

11 7 資源に対する要求事項 力量基準の決定 認証機関は, 審査及び認証の管理及び実施に関与する要員の力量の判断基準を定めるための文書化されたプロセスをもたなければならない 力量の判断基準は, 専門分野ごとに, また認証プロセスの機能別に, それぞれのマネジメントシステム規格又は仕様の要求事項に関して定めなければならない そのプロセスからのアウトプットは, 審査及び認証業務を効果的に実施するために必要な知識及び技能に関する, 意図した結果を達成するために満足すべき文書化された基準でなければならない 附属書 A( 規定 ) は, 認証機関が個々の機能ごとに定義しなければならない知識及び技能について規定する 例えば,ISO/TS 20003, Food safety management system - Requirements for bodies providing audit and certification of food safety management systems のように 特定の認証スキームに対して追加的な特定の力量の判断基準が定められた場合は, これらを適用しなければならない Copyright JIPDEC,

12 7 資源に対する要求事項 注記 専門分野 という用語は, 対象とするマネジメントシステム規格によって異なって使われることがある いかなるマネジメントシステムの場合でも, この用語は, マネジメントシステム規格の適用範囲に則した製品及びプロセスと関係する 専門分野は特定の認証スキーム ( 例えば ISO/TS 22003) によって定義するか, 又は認証機関が決定することができる 異なる種類のマネジメントシステムにおいて 専門分野 という用語の適用例を, 次に示す 品質マネジメントシステム規格における 専門分野 という用語は, 組織の製品サービスに対する顧客の期待及び適用可能な法令規制要求事項を満たすために必要なプロセスに関係する 環境マネジメントシステム規格における 専門分野 という用語は, 大気, 水, 土地, 天然資源, 動物, 植物及び人に影響する環境側面に関連した活動, 製品及びサービスのカテゴリに関係する サプライチェーンのセキュリティマネジメントシステム規格における 専門分野 という用語は, 輸送, 保管 情報などの供給上のセキュリティリスクを背景としたプロセスに関係する 情報セキュリティマネジメントシステム規格における, 専門分野 という用語は, 特に情報セキュリティの技術及び実施基準, 情報通信技術, 並びに情報資産を保護する適切かつ均整のとれたセキュリティ管理策の選択に関する事業活動のカテゴリに関係する Copyright JIPDEC,

13 7 資源に対する要求事項 附属書 A( 規定 ) 求められる知識及び技能 X は, 認証機関が知識及び技能の基準及び深さを定義しなければならないことを示す X+ は, より深い知識及び技能が必要であることを示す 求められる知識及び技能は 最低限を定めたもの 知識及び技能 ビジネスマネジメントの実務に関する知識 審査の原則 実務及び技術に関する知識 特定のマネジメントシステム規格 / 規準文書に関する知識 審査チームに要求される力量を判定し, 審査チームメンバーを選定し, 審査工数を決定するための申請のレビューの実施 認証機能 審査報告書のレビュー及び認証の決定 審査 審査チームの指揮 認証機関のプロセスに関する知識 依頼者の事業部門に関する知識 + + 依頼者の製品, プロセス及び組織に関する知識 依頼組織内における全ての階層に対する適切な言語技能 メモを取り, 報告書を作成する技能 プレゼンテーションの技能 + 面談の技能 審査のマネジメントの技能 + Copyright JIPDEC,

14 7 資源に対する要求事項 評価プロセス 認証機関は, 定めた力量基準を適用した, 審査及び認証のマネジメント及び実施に関与する全ての要員の初回の力量評価 並びに力量及びパフォーマンスの継続的な監視ための文書化したプロセスをもたなければならない 認証機関は, その評価方法が効果的であることを実証しなければならない これらのプロセスからのアウトプットは, 審査及び認証プロセスの種々の機能に要求される力量レベルを実証した要員を識別するものでなければならない 注記知識及び技能の評価に使用できる幾つかの評価方法を附属書 B に示す Copyright JIPDEC,

15 7 資源に対する要求事項 附属書 B( 参考 ) 評価方法 B.1 一般 - この附属書は, 認証機関に対する手助けとして評価方法の例を示すことを意図している - 個人の力量を評価する方法は, 記録のレビュー, フィードバック, 面談, 観察, 及び試験の五つの大きなカテゴリに分けることができる B.2 記録のレビュー - 業務経験, 審査経験, 教育及び訓練を示す経歴などの記録は, 知識に関しての指標となる - 審査報告書, 並びに業務経験, 審査経験, 教育及び訓練の記録などの記録は, 技能に関しての指標となる B.3 フィードバック B.4 面談 B.5 観察 B.6 試験 Copyright JIPDEC,

16 7 資源に対する要求事項 附属書 C( 参考 ) 力量判定及び維持のためのプロセスフロー例 C.1 一般 - 遂行すべき業務を特定し, 意図した結果を得るために必要な知識及び技能を明確にすることによって, 要員の力量を判定する 附属書 B( 参考 ) 評価方法 B.1 一般 - 附属書 C では, 力量を判定し, 維持するためのプロセスフローの一例を示す Copyright JIPDEC,

17 7 資源に対する要求事項 認証機関は, 認証活動で起用する審査員の選定, 教育 訓練, 正式な承認及び技術専門家の選定に関するプロセスを明確にしなければならない 審査員の力量の初回の評価には, 力量をもつ評価者がその審査員の実施する審査を観察することによって決定する, 該当の個人的特質, 審査中に要求される知識及び技能を適用する能力の実証評価を含まなければならない 注記 上述の選定及び教育 訓練プロセスを通じて, 望ましい個人の行動を考慮することができる 個人の行動は, 個々の機能を実行するその個人の能力に影響を与える特性である そのため, 認証機関は, 個人の行動を知ることで, 個人の長所を活用して短所の影響を最小限にとどめられるようにできる 認証活動に関与する要員にとって重要である, 望ましい個人の行動については, 附属書 D に示す Copyright JIPDEC,

18 7 資源に対する要求事項 附属書 D( 参考 ) 望ましい個人の行動 マネジメントシステムの種類を問わず, 認証活動にかかわる要員にとって重要な個人の行動の例は, 次のとおりである a) 倫理的である すなわち, 公正である, 信用できる, 誠実である, 正直である, そして分別がある b) 心が広い すなわち, 別の考え方又は視点を進んで考慮する c) 外交的である すなわち, 目的を達成するよう人と上手に接する k) 職業人である すなわち, 仕事場において礼儀正しく, 誠実で, 総じて職務に適した態度を示している l) 精神的に強い すなわち, その行動が, ときには受け入れられず, 意見の相違又は対立を招くことがあっても, 進んで責任をもち, 倫理的に行動する m) 計画的である すなわち, 効果的な時間管理, 優先度付け, 計画策定及び効率性を示す 行動の決定は状況次第であり, 弱点は特定の状況になって初めて明白になることがある 認証機関は, 認証活動に悪影響を及ぼす弱点が発見された場合は, それに対して適切な措置を講じることが望ましい Copyright JIPDEC,

19 9.1.1 審査プログラム 依頼者のマネジメントシステムが 選択した規格又はその他の基準文書の認証要求事項を満たしていることを, 実証するために必要な審査活動を明確に特定した, 認証周期全体に対する審査プログラムを策定しなければならない 審査プログラムには, 二段階で行う初回審査,1 年目及び 2 年目に実施するサーベイランス審査, 並びに認証の有効期限に先立って 3 年目に行う再認証審査を含めなければならない この 3 年の認証の周期は, 認証又は再認証の決定から始まる 審査プログラムの決定及びその後の調整では, 実証したマネジメントシステムの有効性のレベル, 及び以前に実施した全ての審査の結果に加え, 依頼組織の規模, そのマネジメントシステムの適用範囲及び複雑さ 製品 並びにプロセスを考慮しなければならない 注記 1 附属書 E に, 典型的な第三者審査及び認証プロセスのフローチャートを示す 注記 2 附属書 F に, 審査プログラムを策定又は改訂する際に考慮することができる追加の事項を示す Copyright JIPDEC,

20 附属書 F( 参考 ) 審査プログラム, 審査範囲又は審査計画の考慮事項 F.1 一般この附属書は, 認証機関が審査プログラム, 審査範囲又は審査計画の策定又は改訂を行う際に考慮する必要があるかもしれない事項のリストを含んでいる F.2 考慮事項のリスト a) 依頼者のマネジメントシステムの複雑さ b) 製品及びプロセス ( サービスを含む ) c) 依頼組織の規模 d) 審査すべき事業所 e) 依頼組織の言語, 話される言語及び文書に用いる言語 f) セクター又は規制スキームの要求事項 g) 依頼者及びその顧客の要求事項及び期待 h) シフトの回数又はタイミング i) 個々の審査活動に要する審査期間 j) 審査チームの各メンバーの力量 k) 一時的なサイトの審査の必要性 l) 第一段階審査の結果又は他の以前のあらゆる審査の結果 m) 他のサーベイランス活動の結果 Copyright JIPDEC,

21 n) マネジメントシステムの有効性が実証された程度 o) サンプリングのための適格性 p) 顧客の苦情 q) 依頼者についての認証機関が受けた苦情 r) 複合審査, 統合審査又は合同審査 s) 依頼者の組織, 製品, プロセス又はそのマネジメントシステムの変更 t) 認証要求事項の変更 u) 法的要求事項の変更 v) 認定に関する要求事項の変更 w) リスク及び複雑さ x) 組織のパフォーマンスデータ 例えば, 欠陥レベル, 主要業務評価指標 (KPI) のデータなど y) 利害関係者の懸念事項 z) 前回の審査中に得た情報 Copyright JIPDEC,

22 9.1.2 審査計画 一般 認証機関は, 審査活動の実施及び日程調整に関する合意の基礎を提供するため, 審査プログラムで特定された個々の審査について審査計画を策定することを確実にしなければならない この審査計画は,JIS Q19011 の関連する指針に従って作成された, 認証証機関の文書化された要求事項に基づくものでなければならない 審査目的, 審査範囲及び審査基準の決定 審査目的は, 認証機関が定めなければならない 審査範囲及び審査基準は, 変更があればそれを含めて, 依頼者と協議した後に認証機関が定めなければならない Copyright JIPDEC,

23 審査目的には, 審査によって達成しなければならない事項を記述し, かつ, 次の事項を含まなければならない a) 依頼者のマネジメントシステム又はその一部の 審査基準に適合しているかどうかの決定 b) 依頼組織が 該当する法令, 規制及び契約上の要求事項を満たすことを確実にするための マネジメントシステムの能力の評価注記マネジメントシステムの認証審査は 法律順守の審査ではない c) 依頼組織が 自身が特定した目的を継続して満たすことを確実にするための マネジメントシステムの有効性の評価 d) 該当する場合, マネジメントシステムの潜在的な改善の領域の特定 審査範囲には, 所在地, 組織の単位, 活動及びプロセスのような審査の範囲及び境界を記述しなければならない 初回認証又は再認証プロセスが複数の審査からなる場合 ( 例えば, 異なる場所に及ぶ場合 ), 個別の審査の範囲は認証範囲全体に及ぶものでなくてもよいが, 審査全体として認証文書の適用範囲と整合したものでなければならない 注記附属書 F に, 審査査範囲を作成又は改訂する際に考慮する必要があるかもしれない追加の事項を示す 審査基準は, 適合性を判定する際の基準として用い また 審査基準には, 次の事項を含まなければならない マネジメントシステムに関し規定された規準文書の要求事項 依頼者が構築したマネジメントシステムが取り決めたプロセス及び文書 Copyright JIPDEC,

24 審査計画の作成 審査計画は, 審査目的及び審査範囲に対して適切でなければならない 審査計画は, 少なくとも次の事項を含むか言及しなければならない a) 審査目的 b) 審査基準 c) 審査対象となる組織単位及び機能単位又はプロセスの特定を含めた, 審査範囲 d) 適切な場合には 一時的サイトの訪問を含めた現地審査を行う日時及び事業所 e) 現地審査活動における予定審査工数及び予定審査期間 f) 審査チームメンバー及び同行者の役割及び責任注記 1 審査計画の情報は, 複数の文書からなることがある 注記 2 附属書 F に, 審査計画を作成又は改訂する際に考慮する必要があるかもしれない追加の事項を示す Copyright JIPDEC,

25 9.1.3 審査チームの選定及び割当て 認証機関は, 審査目的の達成に必要とされる力量を考慮して, 審査チームリーダーを含む審査チームを選定し指名するためのプロセスをもっていなければならない このプロセスは,JIS Q の関連する指針に従って作成された, 認証機関の文書化された要求事項に基づくものでなければならない 審査員が一人だけの場合, その審査員は, その審査に当たる審査チームリーダーの責務を果たせる力量を備えていなければならない 審査チームの規模及び構成の決定に際し, 次の点を考慮しなければならない a) 審査目的, 範囲, 審査基準及び予測される審査期間 b) 審査が複合審査, 統合審査又は合同審査であるかどうか c) 審査目的を達成するために必要な審査チーム全体としての力量 d) 認証要求事項 ( 該当する法令, 規制又は契約上の要求事項を含む ) e) 言語及び文化 f) 審査チームのメンバーが, 以前に依頼者のマネジメントシステムを審査したことがあるかどうか Copyright JIPDEC,

26 審査チームリーダー及び審査員に必要な知識及び技能は, 審査員の指導の下で活動を行わなければならない技術専門家, 翻訳者及び通訳者によって補足されてもよい 翻訳者又は通訳者を利用する場合は, 必要以上に審査に影響を及ぼすことがない者を選定する 注記技術専門家の選定の基準は, ケースバイケースで審査チームの必要性及び審査範囲によって決定される 審査員の一人が評価者として任命されていれば, 訓練中の審査員を参加者として審査チームに加えてもよい 任命された評価者は, 責務を引き受けるだけの力量を備え, 訓練中の審査員の審査活動及び審査の所見に最終的な責任を負わなければならない 審査チームリーダーは, 審査チームと協議して, 特定のプロセス, 機能, 事業所, 分野又は活動を審査する責任をそれぞれのチームメンバーに割り当てなければならない このような割り当てには, 審査員, 訓練中の審査員及び技術専門家の異なる役割及び責任とともに, 必要な力量及び審査チームの効果的 かつ 効率的な利用を考慮しなければならない 審査目的を確実に達成するために, 審査の進ちょく ( 捗 ) 状況に応じて, 作業割当ての変更を行ってもよい Copyright JIPDEC,

27 9.1.4 審査工数の決定 認証機関は, 審査工数の決定に関する文書化された手順をもっていなければならない また, 認証機関は, 個々の依頼者について, 依頼者のマネジメントシステムの完全, かつ, 有効な審査を計画し達成するために必要な工数を決定しなければならない 認証機関が決定した審査工数, 及びその決定を正当とする理由を記録しなければならない 認証機関は, 審査工数を決定する際, 特に次の側面を考慮しなければならない a) 該当するマネジメントシステム規格の要求事項 b) 規模及び複雑さ c) 技術的及び規制上の背景 d) マネジメントシステムの適用範囲に含まれる活動の外部委託 e) 以前に実施した, 全ての審査の結果 f) 事業所の数, 及び複数サイトにおける検討要件 g) 組織の製品, プロセス又は活動に伴うリスク h) 審査が複合, 合同又は統合されている 例えば,ISO/TS 又は JIS Q のように 特定の認証スキームに対して特定の基準が確立されている場合は, それらを適用しなければならない Copyright JIPDEC,

28 審査員として任命されていないチームメンバー ( すなわち, 技術専門家, 翻訳者, 通訳者, オブザーバー及び訓練中の審査員 ) が費やす時間は, 上記で定めた審査工数に算入してはならない 注記翻訳者, 通訳者を使用すれば, 追加の審査工数が必要となり得る 現地審査の実施 一般認証機関は,JIS Q の関連する指針に従って作成し文書化された要求事項で明確にした, 現地審査を実施するためのプロセスをもっていなければならない このプロセスには, 審査開始時の初回会議及び審査終了時の最終会議を含まなければならない 注記物理的な場所 ( 例えば, 工場 ) への訪問に加え, 現地 には, マネジメントシステムの審査に関連する情報を包含している電子的なサイトへの遠隔アクセスを含めることができる 注記 2 この規格に従って JIS Q を参照する場合,JIS Q で使用されている用語 被監査者 は,JIS Q では審査される組織を意味する Copyright JIPDEC,

29 初回会議の実施正式な初回会議は 出席者の記録を取り, かつ, 依頼者の経営層の出席に加えて, 適切な場合には 審査を受ける機能又はプロセスの責任者をまじえて開催しなければならない 初回会議は 通常, 審査チームリーダーが実施しなければならない その目的は, 審査活動の実施方法を簡単に説明するものでなければならず, 次の要素を含めなければならない 詳細の程度は 審査プロセスへの依頼者の精密度と合致したものでなければならない a) 参加者の紹介 これには役割の概要を含む b) 認証範囲の確認 ; c) 審査計画 ( 審査の種類及び範囲, 審査目的並びに審査基準を含む ), その変更及び審査チームと依頼者の経営層との間の, 最終会議及び中間会議の日時のような, 他の関連する取決めの確認 d) 審査チームと依頼者との間の正式な連絡窓口の確認 e) 審査チームが必要とする資源及び設備が利用可能であることの確認 f) 機密保持に関連する事項の確認 g) 審査チームに対する 関連する作業安全, 緊急時手順及びセキュリティ手順の確認 h) 案内役及びオブザーバーの利用可能性, 役割及び身元 (identities) の確認 i) 審査所見の格付けを含む報告方法 j) 審査を途中で打ち切る時の条件に関する情報 k) 認証機関を代表する審査チームリーダー及び審査チームが 審査に責任を負い, 審査活動及び審査の進め方を含めた審査計画の実施を管理する立場にあることの確認 l) 該当する場合, 前回のレビュー又は審査所見の状況確認 m) サンプリングに基づく審査の実施に用いる方法及び手順 n) 審査中に用いる言語の確認 o) 審査中, 審査の進ちょく ( 捗 ) 状況及びあらゆる懸念事項を依頼者に知らせることの確認 p) 依頼者が質問する機会 Copyright JIPDEC,

30 審査中のコミュニケーション 審査チームは, 審査中に定期的に審査の進ちょく ( 捗 ) 状況を評価し, 情報交換を行わなければならない 審査チームリーダーは 必要に応じて審査チームメンバーの間で作業の再割当てを行わなければならず 審査の進ちょく ( 捗 ) 状況及びいかなる懸念事項も, 定期的に依頼者に伝えなければならない 入手した審査証拠が 審査目的が達成できないことを示しているか, 又は緊急で重大なリスク ( 例えば, 安全上のリスク ) の存在を示唆している場合, 審査チームリーダーは, これを依頼者に報告しなければならない また 可能であれば, 適切な処置を決定するために認証機関に報告しなければならない このような処置には, 審査計画の再確認又は修正, 審査目的若しくは審査範囲の変更, 又は審査の打ち切りが含まれることがある 審査チームリーダーは, とった処置の結果を認証機関に報告しなければならない 現地審査活動の進ちょく ( 捗 ) に伴って審査範囲変更の必要性が明らかとなった場合, 審査チームリーダーは, この変更について依頼者を交えて検討し, このことを認証機関に報告しなければならない Copyright JIPDEC,

31 オブザーバー及び案内役 オブザーバー審査活動中のオブザーバーの同席とその理由については, 審査の実施に先立って, 認証機関と依頼者との間で合意しなければならない 審査チームは, オブザーバが審査のプロセス又は審査の結果に影響を与えず, また, 妨害とならないことを確実にしなければならない 注記オブザーバーは, 依頼組織の一員, コンサルタント, 審査に立ち会う認定機関の要員, 規制当局, 又はその他の正当な理由をもつ人のいずれかであり得る 案内役各審査員は, 審査チームリーダーと依頼者との合意がない限り, 案内役を同行しなければならない 審査を円滑に進めるために, 審査チームに案内役が割り当てられる 審査チームは, 案内役が審査プロセス又は審査の結果に影響を与えず, また, 妨害とならないことを確実にしなければならない 注記案内役の責務には, 次を含めることができる a) 面談のための連絡先及びタイミングを確認する b) 事業所又は組織の特定の部署への訪問を手配する c) 事業所の安全及びセキュリティ手順に関する規則について, 審査チームメンバーへの周知及び順守を確実にする d) 依頼者に代わって審査に立会う e) 審査員から要請があった場合に 不明な点を明らかにし又は情報を提供する Copyright JIPDEC,

32 情報の収集及び検証 審査証拠となるように 審査中に, 審査目的, 審査範囲及び審査基準に関する情報 ( 機能間, 活動間及びプロセス間のインタフェースに関連する情報を含む ) を適切なサンプリングによって収集し, 検証しなければならない 情報の収集方法には, 次を含めなければならないが これに限定するものではない a) 面談 b) プロセス及び活動の観察 c) 文書及び記録のレビュー Copyright JIPDEC,

33 審査所見の特定及び記録 適合を要約し 不適合及びそれを裏付ける審査証拠を詳述した審査所見は, 認証又は認証の維持の情報に基づいた決定ができるように記録し, 報告しなければならない マネジメントシステム認証スキームの要求事項によって禁止されていない限り, 改善の機会を特定し, 記録してもよい ただし, のb) 及びc) に従って不適合となる審査所見は, 改善の機会として記録してはならない 不適合の所見は, 審査基準の特定の要求事項に対して記録し, 不適合の明確な記述を含め, 不適合の根拠となった客観的証拠を詳細に明示しなければならない 不適合については, 証拠が正確で, その不適合が理解できるものであることを確実にするために 依頼者と協議しなければならない ただし, 審査員は, 不適合の原因又はその解決法を提案すること (suggesting) は控えなくてはならない 注記 b) の要求事項に該当する不適合は重大な不適合として分類することができる それ以外の不適合 [ c)] は, 軽微な不適合に分類することができる 審査チームリーダーは, 審査証拠又は審査所見に関して 審査チームと依頼者との間のいかなる意見の相違も解決を試み, 未解決の問題点は記録しなければならない Copyright JIPDEC,

34 審査結論の作成 最終会議に先立って, 審査チームは, 次の事項を行わなければならない a) 審査所見及び審査中に収集したその他の適切な情報を 審査目的に照らしてレビューする b) 審査プロセスに内在する不確かさを考慮した上で, 審査結論に合意する c) 必要なフォローアップ処置を明確にする d) 審査プログラムの適切さの確認する 又は必要な修正 ( 例えば, 審査範囲, 審査工数又は審査日, サーベイランスの頻度, 力量 ) を特定する Copyright JIPDEC,

35 最終会議の実施 正式な最終会議は 出席者の記録を取り かつ, 依頼者の経営層の出席に加えて, 適切な場合には, 審査された機能又はプロセスの責任者を交えて開催しなければならない 最終会議は 通常, 審査チームリーダーが実施しなければならない その目的は, 認証に関する推薦を含めて審査結論を提示することである いかなる不適合も, 理解できるような方法で提示し, かつ 対応するための期限について合意しなければならない 注記 理解できる とは, 必ずしも, 依頼者が不適合を受け入れたことを意味するものではない : 最終会議は, 次の要素を含んでいなければならない 詳細の程度は, 審査プロセスへの依頼者の理解の精密度と合致したものでなければならない Copyright JIPDEC,

36 a) 収集した審査証拠は 情報のサンプルに基づいたものであることを依頼者へ通知することによって 不確かさの要素について知らせる b) 審査所見の格付けを含めた報告の方法及び期限 c) 依頼者の認証の状態 (status) に関連するいかなる結果も含めた, 認証機関が不適合を取り扱うプロセス d) 依頼者が, 審査中に特定された全ての不適合の修正及び是正処置に関する計画を提示する期限 e) 認証機関の審査後の活動 f) 苦情対応及び異議申立てプロセスに関する情報 依頼者には, 質問の機会を提供されなければならない 審査所見又は審査結論に関して, 審査チームと依頼者との間に意見の相違があれば, 協議して, できる限りそれを解決しなければならない 解決されない意見の相違があれば, それを記録し, 認証機関に通知しなければならない Copyright JIPDEC,

37 審査報告書 認証機関は, 個々の審査について, 報告書を提供しなければならない 報告書は,JIS Q の関連する指針に基づくものでなければならない 審査チームは改善の機会を特定してもよいが, 具体的な解決策を提言してはならない 審査報告書の所有権は, 認証機関が維持しなければならない Copyright JIPDEC,

38 審査チームリーダーは, 報告書が作成されることを確実にし, その内容に責任を負わなければならない 審査報告書は, 情報に基づく決定ができるように 正確で, 簡潔かつ明確な審査の記録となるものでなければならず, 次の事項を含めるか, 又は言及しなければならない a) 認証機関の特定 b) 依頼者の名称及び住所及び依頼者の経営層の代表者 c) 審査の種類 ( 例えば, 初回審査, サーベイランス審査又は再認証審査など ) d) 審査基準 e) 審査目的 f) 審査範囲, 特に審査した組織単位若しくは機能単位又はプロセスの特定 及び審査期間 g) 審査チームリーダー, 審査チームメンバー及び同行者がいればその人の特定 h) 審査活動 ( 現地又は現地以外 ) を実施した日時及び場所 i) 審査の種類に求められる事項と一致する審査所見 審査証拠, 及び審査結論 j) 未解決として特定した全ての問題 Copyright JIPDEC,

39 修正及び是正処置の有効性認証機関は, 依頼者が提出した修正 特定した原因及び是正処置を容認するかどうかを決定するため, これらの修正 特定した原因及び是正処置をレビューしなければならない 認証機関は, とられた修正及び是正処置の有効性を検証しなければならない 不適合の解決の解決を裏付ける得られた証拠を記録しなければならない 依頼者に レビュー及び検証の結果を通知しなければならない 注記修正及び是正処置の有効性の検証は, 依頼者が提供した文書のレビューに基づいて, 又は必要ならば, 現地での検証によって実施することができる Copyright JIPDEC,

40 申請のレビューに続き, 認証機関は 認証の申請を承認するか, 又は拒否するかのいずれかを決定しなければならない 申請のレビューの結果として, 認証機関が認証の申請を拒否する場合は, 拒否の理由を文書にして, 依頼者に明示しなければならない 注記認証の申請を拒否する場合は, 認証機関は, 箇条 4 に規定する原則に抵触しないように注意して行動することが望ましい Copyright JIPDEC,

41 4 ISO/IEC と ISO/IEC との関係 27006:2007 * と 17021:2006 との関係の概念図 ISO/IEC 27006:2007* 17021:2006 * JIP-ISAC 指針による ( 審査に関わる要員の力量 審査プログラム ) の要求事項 : 17021:2006 の特定の部分と関連があるもの 特定部分との関連がないもの Copyright JIPDEC,

42 4 ISO/IEC と ISO/IEC との関係 * と 17021:2011 との関係の概念図 ISO/IEC 27006* 17021:2006 * JIP-ISAC 審査に関わる要員の力量 審査プログラム の要求事項 : 17021:2011 の特定の部分と関連があるもの 特定部分との関連がないもの Copyright JIPDEC,

43 4 ISO/IEC と ISO/IEC との関係 追加された部分 (7 章 ) ISO/IEC 資源に関する要求事項 7.1 経営層及び要員の力量 経営層の力量 力量分析と契約 資源 ISO/IEC 資源に関する要求事項 7.1 経営層及び要員の力量 ( 一般要求事項 ) 経営層及び要員の力量 一般要求事項 タイトル追加 力量基準の決定 追加 評価プロセス 追加 審査及び認証のマネジメント及び実施に関する要員の力量 その他の考慮事項タイトル追加 ( 上記 7.1.2, 7.1.3) Copyright JIPDEC,

44 4 ISO/IEC と ISO/IEC との関係 変更された部分 (7 章 ) ISO/IEC 資源に関する要求事項 7.2 認証活動に関与する要員 IS 7.2 認証機関の要員の力量 審査チームの教育 訓練 認証に関する決定プロセスの管理 ISMS 審査を行う審査員の教育 業務経験 審査員研修及び審査経験に関する前提条件のレベル 7.2 認証活動に関与する要員 ~ ISO/IEC 資源に関する要求事項 ~ 認証活動に関与する要員 ~ Copyright JIPDEC, 削除 : 該当の個人的特質変更 : 能力の実証 能力の評価注記追加 ( 附属書 D, 個人の行動に関して ) 削除 :19011の指針による 効果的な審査の達成及びそれを実証するプロセス ~ 削除 : 19011の指針による 審査員に対する監視の手順

45 4 ISO/IEC と ISO/IEC との関係 追加された部分 (9 章 ) ISO/IEC 一般要求事項 IS ISMS 審査に対する一般要求事項 認証審査基準 方法及び手順 審査チーム IS 認証範囲 IS 審査工数 IS 多数サイト IS 審査方法 IS 認証審査報告書 ISO/IEC 17021: 一般要求事項 ( 審査プログラムは ( 審査計画 ) ( 審査チーム ~ ( 審査工数の決定の手順 ) ( 多数サイトにおけるサンプリング ) ( 審査チームが実施すべき任務 ) ( 審査チームへの異議 ) ( 審査計画の連絡 審査日の合意 ) ( 現地審査実施のプロセス ) ( 審査報告書 ) ( 不適合の原因の分析 ) ( 修正及び是正処置の有効性 ) ~15 Copyright JIPDEC,

46 4 ISO/IEC と ISO/IEC との関係 追加された部分 (9 章 ) 9.1 一般要求事項 審査プログラムタイトル追加 追加 注記 1 附属書 E, 2 附属書 F 追加 審査計画 タイトル追加 一般 タイトル追加 審査の目的 審査範囲 審査基準追加 審査計画の作成追加 審査チーム ~ タイトル追加 一部追加 ISO/IEC 17021: 審査報告書タイトル追加 追加 不適合の原因の分析タイトル追加 修正及び是正処置タイトル, 注記追加 ~15 追加の審査他タイトル追加 ~5 追加 審査工数の設定 タイトル追加 一部追加 追加 9.1.5~8 複数サイトサンプリング他タイトル追加 現地審査の実施タイトル追加 一般タイトル, 一部追加 ~8 追加 Copyright JIPDEC,

47 5 移行審査にあたって 5.1 移行審査での不適合の扱い 移行審査時点で不適合 ( ) になったものは 移行期限まで または 3 カ月以内に是正措置を完了させるものとします 旧基準 (JIP-ISAC , JIP-ITAC ) と同じ箇条の不適合を含む ただし 移行計画の段階で 移行期限を越えて対策が必要なものは 移行計画に内容と対策期限を明記し JIPDEC の合意を得ることが必要です 移行審査では軽微な不適合として扱います Copyright JIPDEC,

48 5 移行審査にあたって 5.2 Ver.2.2 に基づく MS の運用実績 Ver.2.2 に基づいて文書化された仕組みが構築され 運用されていること - 内部監査及びマネジメントレビュー ( 少なくとも移行に関しての内容を含む ) の実績 - 原則として 1 件以上の認証審査の実施 Copyright JIPDEC,