QMS・ISMS同時取得の審査に立ち会った際のことです。
IT系の会社の場合、QMSとして法令を考えるよりもセキュリティ(ISMS)として法令を洗い出したほうが分かりやすいです。
なので、ISMS関連法令一覧を作られて、リスクを管理されていたのですが、一次審査での審査員のコメントが
「ISMSでは関連する法令を管理されていましたが、QMSはありませんでした」というコメント。少々、笑えるコメントです。
対処としては一覧文書の名称から「ISMS」をとったということ。見た目上はISMS、QMSということではなく関連する法令を管理
していることとなりました。別に、事務局が分かれているわけではなく、統合的に構築しているのに、文書名だけでのこのような
判断は意味がないです。名称が何であれ、法令を管理していることが重要だし、そこから考えられるリスクは情報セキュリティ、
品質に関わらす事業に対するリスクです。
