|
4.1.3.2. ドキュメントの構成
1. 範囲(Scope)
2. 参照出版物(Normative references)
3. 用語と定義(Terms and definition)
4. セキュリティ対策でカバーする範囲(Field of application)
4.1. 申請声明(Statement of application)
4.2. ビジネスパートナー(Business partners)
4.3. 国際的に受け入れられた証明書または承認(Internationally accepted certificate or approvals)
4.4. セキュリティ宣言必要条件から免除されたビジネスパートナー(Business partners exempt from security declaration requirement)
4.5. ビジネスパートナーのセキュリティ見直し(Security review of business partners)
5. サプライチェーンセキュリティプロセス(Supply chain security process)
5.1. 一般(General)
5.2. セキュリティ評価のスコープの決定(Identification of the scope of the security assessment)
5.3. セキュリティ評価の実施(Conduction of the security assessment)
5.3.1. 評価実施者/チーム(Assessment personnel)
5.3.2. 評価プロセス(Assessment process)
5.4. セキュリティ計画の作成(Development of the supply chain security plan)
5.5. セキュリティ計画の実施(Execution of the supply chain security plan)
5.6. セキュリティプロセスの状況把握及び実施(Documentation and monitoring of the supply chain security process)
5.6.1. 一般(General)
5.6.2. 継続的改善(Continuous improvement)
5.7. セキュリティ問題発生の際の措置(Action required after a security incident)
5.8. セキュリティ上の情報(Protection of the security information)
・付属文書A:サプライチェーンセキュリティプロセス(Annex A Supply chain security process)
A.1. 一般(General)
A.2. セキュリティ評価範囲の識別(Identification of the scope of the security assessment)
A.3. セキュリティ評価行為(Conduction of the security assessment)
A.3.1. 一般(General)
A.3.2. 見直しリスト(Performance review list)
A.3.3. リストの見直し(Performance review)
A.3.4. 脅威のシナリオ(Thereat scenario)
A.4. セキュリティ計画の開発(Development of the security plan)
A.4.1. 一般(General)
A.4.2. 文書化(Documentation)
A.4.3. コミュニケーション(Communication)
A.5. セキュリティ計画の実施(Execution of the security plan)
A.6. セキュリティ評価の監視(Documentation and Monitoring of the security process)
A.7. 継続的改善(Continuous improvement)
・付属文書B:セキュリティリスク評価及びセキュリティ対策開発方法論(Annex B(Informative)Methodology for security risk assessment and development of countermeasures)
B.1. 一般(General)
B.2. ステップ1:脅威のシナリオへの考慮(Step 1 Consideration of the threat scenario)
B.3. ステップ2:結果の分類(Step 2 Classification of consequences)
B.4. ステップ3:セキュリティ事件の見込みの分類(Step 3 Classification of likelihood of security incidents)
B.5. ステップ4:セキュリティ事件の得点付け(Step 4 Security incident scoring)
B.6. ステップ5:対抗策の開発(Step 5 Development of countermeasures)
B.7. ステップ6:対抗策の実施(Step 6 Implementation of countermeasures)
B.8. ステップ7:プロセスの評価(Step seven Evaluation of the process)
B.9. :ステップ8:プロセスの繰り返し(Step eight Repetition of the process)
B.10. プロセスの継続(Continuation of process)
・付属文書C:助言及び審査の指針
C.1. 一般(General)
C.2. 監査によりISO/PAS 28001と一致していることを示す(Demonstrating conformance with ISO/PAS 28001 by audit)
C.3. 第三者認可記機関よるISO/PAS 28001証明(Certification of ISO/PAS 28001 by third party certification bodies)
ISO/PAS 28003の正式名は、「セキュリティ管理システム ― サプライチェーンセキュリティ管理システムの監査及び認証を提供する要件(Security management system - Requirements for bodies providing audit and certification of supply chain security management systems)」と呼ばれ、他のISOマネジメントシステム規格と同様にISO/PAS 28000について、「第三者による審査・認証を求める企業や政府機関に、信頼できる制度を提供するための規格」を定めたものであります。ISOの適合性評価委員会(Committee of Conformity Assessment)ではISO/IEC12規格案であるISO/IEC 17021(適合性評価−マネジメントシステムの認証を提供する機関に対する要求事項)を開発中であり、ISO/PAS 28003はこのISO/IEC 17021をサプライチェーンセキュリティ管理用に焼き直したものです。ISO/PAS 28003のうちで重要な章は、第4章の「認証機関の原則」に「監査機関の適格性」が記述されています。尚ISO/PAS28003は、2005年10月1日に発行され、現在DISへの投票準備中(2007年6月1日投票期限)であり、2007年7月にFDIS、2007年8月にISO化の予定となっています。
|
12 IEC: 国際電気標準会議(International Electrotechnical Commission)(外部サイトへリンク)といい、各国の代表的標準化機関から成る国際標準化機関であり、電気及び電子技術分野の国際規格の作成を行っています。
|
1. 範囲(Scope)
2. 参照出版物(Normative references)
3. 用語と定義(Terms and definition)
4. 認証機関の原則(Principles for certification bodies)
4.1. 一般(General)
4.2. 公平性(Impartiality)
4.3. 力量/能力(Competence)
4.4. 責任(Responsibility)
4.5. 公開(Openness)
4.6. 機密性(Confidentiality)
4.7. 苦情の解決(Resolution of complaints)
5. 一般的な要求事項(General requirements)
5.1. 法的/契約事項(Legal and contractual matters)
5.1.1. 法的責任(Legal responsibility)
5.1.2. 認可合意(Certification agreement)
5.1.3. 認可決定に対する責任(Responsibility for certification decisions)
5.2. 公明正大の管理(Management of impartiality.)
5.3. 責任と資金調達(Liability and financing)
6. 組織要求条件(Structural requirements.)
6.1. 組織と経営(Organizational structure and top management)
6.2. 公明正大を守るための委員会(Committee for safeguarding impartiality)
7. 人的資源の要求事項(Resource requirements)
7.1. 管理と個人の能力(Competence of management and personnel)
7.2. 認可行為に従事する個人(Personnel involved in the certification activities)
7.3. 個人の外部監査人お呼び外部専門家の利用(Use of individual external auditors and external technical experts)
7.4. 個人記録(Personnel records)
7.5. 外部委託(Outsourcing)
8. 情報必要条件(Information requirements)
8.1. 公にアクセスできる情報(Publicly accessible information)
8.2. 認可文書(Certification documents)
8.3. 認証された顧客名簿(Directory of certified clients)
8.4. 認証の参照とマークの使用(Reference to certification and use of marks)
8.5. 秘匿性(Confidentiality)
8.6. 認可機関と顧客との間の情報交換(Information exchange between a certification body and its clients)
8.6.1. 認可活動と必要条件に関する情報(Information on the certification activity and requirements)
8.6.2. 認可機関による変更通知(Notice of changes by a certification body)
8.6.3. 顧客による変更通知(Notice of changes by a client)
9. プロセス必要条件(Process requirements)
9.1. 監査に対して適用される一般必要条件(General requirements applicable to any audit)
9.2. 最初の監査と認可(Initial audit and certification)
9.2.1. 申請(Application)
9.2.2. 申請見直し(Application review)
9.2.3. 最初の認可監査(Initial certification audit)
9.2.4. 最初の認可監査報告(Initial certification audit reports)
9.2.5. 監査後の活動(Post-audit activities)
9.2.6. 最初の認可決定承諾又は延長認可(Initial certification decision granting or extending certification)
9.3. 監視活動(Surveillance activities)
9.3.1. 一般(General)
9.3.2. 監視監査(Surveillance audit)
9.3.3. 監視監査報告(Surveillance audit report)
9.3.4. 認可の維持(Maintaining certification)
9.4. 再認可(Recertification)
9.4.1. 再認可サイクル(Recertification cycle)
9.4.2. 再認可監査計画(Recertification audit plan)
9.4.3. 再認可監査(Recertification audit)
9.4.4. 再認可監査報告(Recertification audit report)
9.4.5. 再認可決定(Recertification decision)
9.5. 特別監査(Special audits)
9.6. 認可範囲の一時停止、撤回、縮小(Suspending, withdrawing or reducing scope of certification)
9.7. 提訴(Appeals)
9.8. 苦情(Complaints)
9.9. 出願者及び顧客の記録(Records on applicants and clients)
10. 認可機関に対する管理システム必要条件(Management system requirements for certification bodies)
10.1. 選択1: ISO9001と一致した管理システム必要条件(Option 1 - Management system requirements in accordance with ISO 9001)
10.1.1. 範囲(Scope)
10.1.2. 顧客(管理システム監査)の焦点(Customer focus)
10.1.3. 管理見直し(Management review)
10.1.4. デザインと開発(Design and development)
10.2. 選択2: 一般的管理システム必要条件(Option 2 - General Management system requirements)
10.2.1. 管理システムマニュアル(Management system manual)
10.2.2. 書類の管理(Control of documents)
10.2.3. 記録の管理(Control of records)
10.2.4. 管理見直し(Management review)
10.2.4.1. 入力見直し(Review inputs)
10.2.4.2. 出力見直し(Review outputs)
10.2.5. 内部監査(Internal audits)
10.2.6. 修正措置(Corrective actions)
10.2.7. 予防措置(Preventive actions)
・付属文書A:(Correspondence between ISO 9001 and ISO/IEC 17021)
ISO/PAS 28004の正式名は、「サプライチェーンのためのセキュリティ管理システム ― ISO/PAS 28000の実務指針(Security management systems for supply chain ― Guidelines for implementation ISO/PAS 28000)」と呼ばれ、ISO/PAS 28003同様にISO/PAS 28000の姉妹版で、「ISO/PAS 28000を実施するためのガイドライン」として位置づけされるものです。尚、ISO/PAS28004は2005年9月1日に発行され、現在DISへの投票中(2007年2月1日投票期限)であり、2007年4月にFDIS、2007年6月にISO化の予定となっています。
1. 範囲(Scope)
2. 参照出版物(Normative references)
3. 用語と定義(Terms and definition)
4. セキュリティ管理システムエレメント(Security management system element)
4.1. 一般的な必要条件(General requirements)
4.2. セキュリティ管理政策(Security management policy)
4.3. セキュリティリスク評価と計画(Security risk assessment and planning)
4.4. 実施と運用(Implementation and operation)
4.5. 行動チェックと修正(Checking and corrective actions)
4.6. 管理の見直しと継続的改善(Management review and continual improvement)
・付属文書A: ISO/PAS28000、ISO14001: 2004とISO9001: 2000との対応(Correspondence between ISO/PAS28000: 2005, ISO14001: 2004 and ISO9001: 2000)
ISO/PAS 28005は、上述のISO/PAS 28000シリーズ文書とは異なり、船舶の入出港に際し必要となる手続を文書(ドキュメント)から電子データ交換(EDI)に切り替えるにための「電子データ交換、データ送信方法を規定する」ドキュメントです。ISO/PAS 28005の正式名は、「電子式船舶入出港手続き(Electronic Port Clearance)」と呼ばれ、ヨーロッパにおけるMarNIS13プロジェクト、UN/CEFACT、IMO/FAL、主に欧州の港湾で使用されているXML、セーフシーネット(EC指令)、UN/ECE水上輸送の「内陸水路分析」等を参照にしながら現在作業を進めています。尚、ISO/PASS28005は2006年6月9日に新規提案項目(NWPI14)として承認され、第2回WGが2006年10月16日に開催されました。PAS投票は、2007年初頭と予想されています。今後、出入港手続きやEDI化におけるダブルスタンダードの世界を回避するためにも、IMO/FAL委員会のe-Business WG、UN/CEFACT、その他運輸関連のグローバルユーザグループの進捗作業を考慮しながら、当作業を行っているWG(TC8/SC 10/WG2)への提案を行うことも必要となってくるのではないかと思われます。
|
13 MarNIS: Maritime Navigation and Information Services(海上運航情報サービスを提供する汎欧州プロジェクトで、44のパートナーおよび12人の補助的なパートナーの統合された研究計画)
14 NWPI: New Working Proposal Item
|
ISO/PAS 20858の正式名は、「海事港湾施設のセキュリティ評価とセキュリティ計画の作成(Marine port facility security assessments and security plan development)」と呼ばれ、SOLAS15条約のISPSコードで要求されている海事港湾施設の評価及びセキュリティ計画の作成方法を規定(SOLAS条約は脚注にISO20858を引用した部分を網羅)するとともに、海事施設のセキュリティレベルの改善・向上を図るための国際規格です。ISO/PAS20858は、ISPSコードの発行した2004年7月1日に発行され、ISO/DIS投票への着手を開始し、2007年3月〜7月でDIS投票に付されると予想されています。
|
15 SOLAS条約:Safety of Life at sea(1974年の海上における人命の安全のための国際条約)
|
|
