ISO27001における利害関係者とは誰のことなのか?
ISO27001 では、「利害関係者」というキーワードが何度か出てきます。この利害関係者とはだれのことを指すのでしょうか?今回は、ISO 27001における利害関係者について解説していきたいと思います。
利害関係者とは?
利害関係者とは、組織と相互に利害関係を持つ人々のことを言います。そもそも組織は様々な人や組織によって取り囲まれています。――例えば、商品やサービスを提供する先である顧客も利害関係者と言うことができますし、労働を提供してもらい、その対価を支払っている従業員も利害関係者といえるでしょう。
それだけでなく、投資家、マスメディア、政府、近隣住民、外注先など様々な人々や組織が利害関係者と言えます。しかし、ISO27001は、情報セキュリティマネジメントシステム規格 です。「情報セキュリティ」という分野においては、利害関係者を絞り込むことができるかもしれません。
例えば組織のステークホルダー には、大気・大地・森林のような自然環境も含まれます。こういった自然環境は情報セキュリティと言う分野における利害関係者と見做さなくても良いでしょう。
ISMSにおける利害関係者とは
ISMSにおける利害関係者は、先程の自然環境のようなものを除いて組織の利害関係者と同じであると考えて良いでしょう。例えば政府や自治体のようなガバメントリレーションも、法令遵守というニーズを組織に対して持っているとみなすことができます。
ISO27001の要求事項でも、以下のような記載があります。
組織は,次の事項を決定しなければならない。
- a) ISMSに関連する利害関係者
- b) その利害関係者の情報セキュリティに関連する要求事項
注記 利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。
JIS Q 27001
このように、利害関係者を明らかにした後に利害関係者のニーズを明らかにする必要があるのですが、この利害関係者の要求事項には、法令や条例のような項目を含めても良いとあります。
利害関係者は何のために明確にするのか?
ISO27001は、情報セキュリティの水準を完璧なものにして、盤石なセキュリティ体制を構築することを目的としたマネジメントシステム規格ではありません。要求事項の冒頭でも、以下のようなことが記載されています。
ISMSを,組織のプロセス及びマネジメント構造(management structure)全体の一部とし,かつ,その中に組み込むこと,並びにプロセス,情報システム及び管理策を設計する上で情報セキュリティを考慮することは,重要である。ISMSの導入は,その組織のニーズに合わせた規模で行うことが期待される。
JIS Q 27001
つまり、組織が利害関係者からどの程度のセキュリティ水準を求められているのかを明確にし、それを満たす水準のISMSを構築することが重要だと規格は言っているのです。さて、この利害関係者のニーズを把握するためには、まずは利害関係者を明らかにする必要があると思います。
「多分、うちの会社はこれくらいのセキュリティレベルがあれば良いだろう」という曖昧な基準ではなく、利害関係者を明らかにした上でその利害関係者のニーズを掴む必要があるのです。
利害関係者のニーズの例
以下では、利害関係者とその利害関係者が持っているであろう、情報セキュリティに対する要求事項について一例をまとめてみましたので、参考にしてください。
| 利害関係者 | 要求事項 |
|---|---|
| 顧客 |
|
| 従業員 |
|
| 従業員の家族 |
|
| 協力会社 |
|
| 仕入先 |
|
| 警察署、消防署 |
|
| 審査機関 |
|
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい