QMS・ISMS同時取得の審査に立ち会った際のことです。

IT系の会社の場合、QMSとして法令を考えるよりもセキュリティ(ISMS)として法令を洗い出したほうが分かりやすいです。

なので、ISMS関連法令一覧を作られて、リスクを管理されていたのですが、一次審査での審査員のコメントが

「ISMSでは関連する法令を管理されていましたが、QMSはありませんでした」というコメント。少々、笑えるコメントです。

対処としては一覧文書の名称から「ISMS」をとったということ。見た目上はISMS、QMSということではなく関連する法令を管理

していることとなりました。別に、事務局が分かれているわけではなく、統合的に構築しているのに、文書名だけでのこのような

判断は意味がないです。名称が何であれ、法令を管理していることが重要だし、そこから考えられるリスクは情報セキュリティ、

品質に関わらす事業に対するリスクです。