いっぱいあってもひとつのMSS。


さて、このMSS。世界標準というからにはまず大前提として、いろんな分野の規格が存在しても、それらが全て「みんな共通」でなければならない。
ISO/IEC 27001:2005の規格書には「関係するマネジメントシステム規格と矛盾なく統合して導入及び運用することができるようにJIS Q 9001:2000(工業分野の規格)及びやJIS Q 14001:2004(エコ分野の規格)との 調和がとられている。」(日本規格協会編「対訳 ISO/IEC27001:2005ポケット版」より。カッコの中は付け加えました。)とあり、 一つのマネジメントシステムを構築した場合、その他の「全てのマネジメントシステムの規格の要求事項を満たすことができる。」(同書引用)ようになっているものなのだ。
ということは様々な分野の規格が存在する場合、それがみんなこの↑条件を満たしていることが望ましい、ということになる。

ISMSの規格書を読んで初めて、ここの部分を理解した時に思ったのは「そんなことができるの?」ということだった。工業もエコも情報セキュリティも、何も共通点がないように思えるのに、「全てのMSの規格の要求事項を満たすことができる。」 と言いきってしまうのはどう考えても不思議に思えて仕方がない。

案の定JIS Q 9001:2000(工業分野の規格)やJIS Q 14001:2004(エコ分野の規格)以降さまざまなMSが規格発行された結果、 それぞれのMSSの性格上、他の規格にもある同じ言葉が、例えばこっちのMSではA、あっちのMSではCと定義されていることや、構築、運用する際の作り方や運用のしかたが違うなど、「全てのMSの規格の要求事項を満たすことができる。」はずのものが、「こんな予定ではなかったんだけど…」という状態に陥っていたようだ。