ISO27001取得にあたって、ISMS事務局は設置すべきなのか?

投稿日:

ISOプロ担当者

最終更新日: 2019年10月29日

いまや企業/組織では、日常業務でITを活用して工数削減や業務の効率化、ペーパーレス化、経営資源の有効活用など様々な改善活動を推進し、その成果を伸ばしている企業/組織は多いのではないでしょうか。また、IT化を推進する上で情報セキュリティ対策が課題になっている企業/組織も多いことでしょう。

企業/組織で保有する情報資産の安全性を確保することは、顧客・取引先との信頼関係を構築する上で欠かせません。企業/組織が事業継続していくために、機密情報など取り扱いに注意が必要な情報の外部流出やサイバー攻撃による被害、ヒューマンエラーやシステム障害などでデータが損失することのないよう、日常において適切な情報セキュリティマネジメントが必要不可欠になります。

ISO/IEC 27001の認証取得にあたり、ISMS事務局(ISMS認証取得のプロジェクトチーム)を設置するか否かは、情報セキュリティの推進体制の必要性およびその役割を理解された上で、推進体制の組織構成も含め検討されるとよいでしょう。一般的には、下記「情報セキュリティ推進体制の役割と目的」にあるように推進体制ではそれぞれ役割があり、効率的にISO/IEC 27001認証取得・運用維持するために情報セキュリティ推進体制を確立し、ISMS事務局を設置します。

1. 情報セキュリティ推進体制の役割

情報セキュリティ推進体制の組織構成や役割は各社各様で、一般的には委員会方式を採用する企業/組織が多いようです。ISMSの推進においては、各組織構成の職務分掌を明確にし、それぞれの担当業務が効率よく適切に実施できるようにします。必要に応じて、情報セキュリティの重要性を理解するための社内研修などを実施すると良いでしょう。

1) ISMS管理責任者(CISO)

トップマネジメント*1に経営者が就任されるのが一般的ですが、組織へのISMSの導入を推進するための、メンバー選定(ISMS委員会)の承認、対応スケジュール作成の承認、ISMS関連事項の審議決定、ISMSの運用を維持するための対策状況の把握、改善の指示、インシデント発生時の対応指示等あります。(※CISO =(Chief Information Security Officer 最高情報セキュリティ責任者)

*1トップマネジメントは、情報セキュリティ方針および情報セキュリティ目的を確立し、ISMSが有効に機能するよう支援します

2) ISMS事務局

ISMS委員会メンバーの選定、ISMS推進計画の作成、ISMSの運用・維持、社内教育の実施、緊急対応、インシデント発生時の対応、認証期機関へ申請手続きなどがあります。

3) ISMS推進委員会(ISMS推進プロジェクトチーム)

情報セキュリティポリシーの策定、リスクの定義およびリスクアセスメントの計画・実施、ISMSの適用範囲決定、管理策の実施、ISMSに関するマニュアルなどの社内文書の作成、教育などがあります。

4)各部門情報セキュリティ担当者

各部署より1人以上選出します。
ISMS推進委員会で決定した情報セキュリティ対策を部署内に展開します。

5)内部監査責任者/内部監査員

内部監査では、ISMSの目標に対する達成状況や、適用範囲において適切に継続的改善が行われているか、定期的に評価します。

内部監査の目的

  • >構築したISMSの有効性を評価
  • >組織自体が規定した要求事項およびISO/IEC27001の要求事項に対して適合しているか評価

2.ISMS推進体制/ISMS事務局のメンバー構成例

ISMS推進体制/ISMS事務局のメンバー構成は、認証取得の適用範囲(規模)・組織の状況等によって各社異なります。また、企業/組織の事情により責任者は業務担当/実務担当を兼任される場合もあります。下記に一例をあげます。

  • 情報セキュリティ管理最高責任者:トップマネジメント(経営層や適用範囲の部門長)
  • ISMS構築の管理責任者
  • ISMS構築業務の実務担当者
  • (ISMS事務局)ISMSの運用管理責任者
  • (ISMS事務局)ISMSの運用管理業務の担当者
  • (ISMS事務局)ISMSの運用実務担当者:教育責任者、システム管理者、内部監査員等
  • ISMS推進委員:各部署より選出(1人~)
  • 内部監査責任者/内部監査員

ISO27001取得にあたって、ISMS事務局は設置すべきなのか?

1) メンバーを選任する場合のポイント

① トップマネジメントなど決定権を持つ方

ISMS推進会議では様々な課題について検討し、決定します。決定権を持つ方がメンバーに加わることで迅速な意思決定が可能となり、課題解決の時間が短縮されます。

② 情報システム管理者など社内情報に詳しい方

企業/組織に情報システム管理者(あるいはネットワーク管理者)がいる場合、社内ネットワークやシステム構成、情報システムの運用状況、情報セキュリティの対応状況、クラウドサービスの利用状況、データの保全方法等、ITインフラストラクチャ全般の情報を得ることができ、ISMSの構築で効率よく作業を進めることが可能になりますので、情報システム管理者をメンバーに入れます。

3.推進体制を構築する際のフロー

1)全社(組織)的にISMS認証を取得する場合

ISMSの構築では、まず経営層よりISMS管理責任者(CISO[Chief Information Security
Officer:情報セキュリティ管理責任役員])が任命され、ISMS管理責任者が中心となり、各部門からISMS推進チームのメンバーが選抜されます。ISMS管理責任者と推進チームにより「ISMS事務局」が設置され、各部署から1~2名、情報システム管理者や人事部門社員教育責任者も参加します。

2)施設や事業/部署の単位でISMS認証を取得する場合

一部の事業エリアでISMS認証を取得する場合、ISMSにおけるトップマネジメントに経営層(役員)が就任されるのが望ましいですが、ISMS取得範囲の部門長でも可能です。ISMS推進体制の責任者を決定し、推進体制を構築していく中で、リスクアセスメントの実施プロセス等で各業務に精通するメンバーが参加し、ISMS推進チームのメンバーとして責任者を補佐するなど、徐々に推進体制を確立するケースもあります。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1
2
3
4
5
6
7
8

関連するおすすめ記事


ISOプロ講座
HACCPプロ講座