ISO27001(ISMS)の事務局とは、ISO27001取得および運用のプロジェクト運営を支えるチームのことです。ISO27001(ISMS)事務局の役割は、全体最適を考慮し、適切な役割と権限を各部署に割り振ることです。また、組織体制を構築する際は管理責任者と内部監査責任者の2つの役割を決めることが必須です。
INDEX
ISO27001(ISMS)の事務局とは、ISO27001取得および運用のプロジェクト運営を支えるチームのことです。
事務局と言いながら担当者1名で進めている場合もありますし、大規模の企業になると10名ほどのチームが組まれている場合もあります。
事務局設置の目的は、ISO27001認証を無事に取得し、問題なく運用を続けることです。
ISO27001事務局の役割は、要求事項を満たすための活動を計画し、実施し、チェックし、改善することです。
ISMSの活動をスムーズに進めていけるよう、適切な役割・権限を割り振ります。
人選がひとつの部門・部署に偏っていたりすると、他部門の理解が得られずうまく進まないこともあります。複数部門からメンバーを任命すると良いかもしれません。
・プロジェクトリーダーからの指示の具体的なタスクへの落とし込み
・各タスクの進捗管理
・現場とのコミュニケーションと協力の要請
・プロジェクトリーダーへの定期的な報告
・進捗が悪い時の対処
必ず事務局を設置しなければならないというわけではありません。
組織によっては事務局を設置せずISMS担当者が一人いれば十分、というケースもあります。
ただし、ISMSの組織体制として
・管理責任者
・内部監査責任者
の2つの役割は必ず決めなければなりません。
この2つは兼任することができないのでそれぞれ任命する必要があります。この2名を含んで複数名で事務局を構成しているケースもあります。
ISMS(ISO27001)の組織体制は企業によってさまざまです。
しかし、最低限で必要な役割としては管理責任者、内部監査責任者の2つです。
組織の規模により、委員会やプロジェクトチーム、事務局などが組まれるかもしれませんが、最低限必要なのはこの2つです。
それぞれどのような役割か説明いたします。
管理責任者はISMSの活動全般を統括し、組織のセキュリティに対して責任を負います。
ISMSを推進するために各責任者を任命し、運用に関する権限と責任を持っています。
例えば教育の指導やリスク対策の指示、情報漏洩に代表される事故後の指示といったことがこれに該当します。
人選のポイントとしては、トップマネジメント・ISMS事務局・現場の3者間のコミュニケーションを円滑に進められる方、影響を及ぼせる方がよいでしょう。
・トップマネジメントとやり取りし、情報セキュリティ方針の決定や見直し
・トップマネジメントとやり取りし、情報セキュリティ目標の決定
・ISMS事務局のプロジェクトの進捗管理
・ISMSに関する取り組みを現場の従業員に指導・教育
・ISMSがきちんと機能しているか、特に現場の状況のレビュー
・トップマネジメントに対してISMSの取り組み報告
・インシデント発生時のフローの決定
・パートナーのセキュリティレベルの調査
情報セキュリティ管理者と事務局のリーダーが同一人物でも構いません。
全体最適として、プロジェクトの意思決定者(=情報セキュリティ管理者)とプロジェクトの推進者(=事務局リーダー)を分けても良いと思います。
内部監査を行う上での最高責任者。ISMSの活動が、適切に機能しているか、第三者の立場で判断します。
監査の方向性を決めたり、監査チェックリストの作成指示をします。管理責任者と同じ方がつくことはできません。
人選のポイントは、ISO27001の要求事項の知識があること、監査の手法や手続きの知識を持っていること、監査対象部門の業務を理解していることの3点です。
・内部監査での重点項目の設定
・内製化する上では、監査員の選定と知識と実践面でのフォローアップ
・監査員、被監査部署への内部監査の意図の共有と協力要請
・新規取得時では、専門性の高い知識と技術が求められるため、外部コンサルタントの専門家の活用も検討し、今後の自社で内部監査が実施できる環境を整える
組織体制の作り方についてはこちらのコラムでも詳しく解説しています。
>ISMS(ISO27001)組織体制の作り方3つのポイント
ISO27001取得・運用プロジェクトを進める上で、様々な事柄を検討し意思決定しなくてはなりません。
そのため、その場で意思決定できる方がメンバーにいることでISMS推進がスムーズに進みます。
ISMSの活動には、セキュリティに関連する管理策が多くあります。
ネットワークや自社サービスのシステム構成、情報システムの運用状況、情報セキュリティの対応状況、クラウドサービスの利用状況、ITインフラ全般の情報を考慮しながらルールの策定を行ってきます。
そのため、社内の情報システム事務局や情報セキュリティ担当者、自社サービスの開発責任者等をあらかじめ事務局の役割・権限として決定しておくと、意思決定が円滑に進みます。
ISMS活動で役割権限のない一般従業員であっても、情報セキュリティ方針への理解やISMSの有効な取り組みへの自らの貢献、ISMS要求事項に適合しないことの意味を認識することが求められます。
役割がなければ関係ないという訳ではなく、情報セキュリティはすべての従業員が意識し行動する必要があります。
役割権限を決定する際に、販管部門のみだと現場への影響が弱くなることがあります。
全従業員が意識するためにも、現場も巻き込んだ体制作りがポイントになると思います。
全社での組織体制を作ります。全社で取得する際のトップは社長となります。
組織によっては社長が現場に関わるセキュリティマネジメントを細かく行うのは難しいこともあります。そのため、情報セキュリティ管理責任者を決定し、権限を委任することが多いです。また、会社規模にもよりますが各責任者を決めていく必要があります。
全社で取得する場合には適用範囲を全社にすることから、現場の協力が必要となってきます。その中でどういうルールで運用しているのか、どういう情報資産が必要なのかを現状把握する体制が必要になってきます。
部門だけでの組織体制を作ります。部門だけで取得する際は部門長がトップとなります。
組織全体で取得するとき同様、現場に関わるセキュリティマネジメントまで管理が難しい場合は、管理責任者を置くことが多いです。
また、部署単位になると人数が少なくなる可能性が高くなるため、必要最小限で取り組みをした方が動きやすくなるでしょう。
ただし、ここでも役割を決めておくとさらに社内の動きが早くなるので、部署単位になったとしても役割を決めておきましょう。
ISO27001事務局の役割は、全体最適を考慮し、適切な役割・権限を、管轄部署に割り振ることです。
また、組織体制の構築に最も必要なポイントは、役割・権限を割り振る上で、管轄部署とコミュニケーションを取るプロジェクトリーダーが、関係各所に影響を及ぼせる仕組みを作っていくことになります。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。