箇条5では,トップマネジメントがその責任において実施すべき内容のほか、情報セキュリティに対する組織の方針の確立やISMSにおける組織内の要員の役割,責任,権限を明確にして要員に伝達することについて要求しています。
この記事では,「5.1 リーダーシップ及びコミットメント」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「5.1 リーダーシップ及びコミットメント」では,トップマネジメントがどのようにしてリーダーシップとコミットメントを実施しなけれなならないかについて定めています。
規格要求事項
5.1 リーダーシップ及びコミットメント
トップマネジメントは,次に示す事項によって,ISMSに関するリーダーシップ及びコミットメントを実証しなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
a) 情報セキュリティ方針及び情報セキュリティ目的を確立し,それらが組織の戦略的な方向性と両立することを確実にする。
b) 組織のプロセスへのISMS要求事項の統合を確実にする。
c) ISMSに必要な資源が利用可能であることを確実にする。
d) 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。
e) ISMSがその意図した成果を達成することを確実にする。
f) ISMSの有効性に寄与するよう人々を指揮し,支援する。
g) 継続的改善を促進する。
h) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を支援する。
“トップマネジメント”って何ですか?
“トップマネジメント”とは、規格では,「最高位で組織を指揮し,管理する個人又は人々の集まり(ISO/IEC 27000:2013 2.84)」と定義していて,ISMSの適用範囲における最高責任者のことを指すんだ。例えば,会社全体がISMSの適用範囲であれば,社長や取締役会がトップマネジメントになるんだが,適用範囲が会社の一部の組織だけの場合は,その一部の組織の長がトップマネジメントということになるんだ。
組織のトップがリーダーシップを発揮して,ISMSの構築や運用に責任を持つことを誓約する(させる)んですね。
そうなんだ、マネジメントシステムの構築や運用は,トップの積極的な関与がないと成功しないんだよ。
規格がトップマネジメントに求める8項目
情報セキュリティ方針・目的の確立(5.1 a)
組織の事業目的や戦略,方向性に沿った情報セキュリティ方針と情報セキュリティ目的の確立をトップマネジメントに求めています。情報セキュリティ方針や情報セキュリティ目的が,組織の戦略的な方向性と一致していることは,効果的なISMSを構築・運用するうえで重要な要因となります。
組織のプロセスにISMSを統合する(5.1 b)
組織の活動の中にISMSを組み込んで,組織のプロセスに合ったISMSを構築・運用することが重要です。組織の活動プロセスとISMSのPDCAプロセスが別々になってしまうと,ISMSが形骸化してしまうおそれがありますので注意が必要です。
ISMSの構築・運用に必要な資源を利用可能にする(5.1 c)
ISMSの構築・運用に対し,経営資源の確保・投入が求められています。ISMSの構築・運用には,費用がかかります。この費用をコストと捉えるか,投資と捉えるかは見解が分かれるところですが,事務局メンバーの人件費やISMS構築・運用にかかる活動費,セキュリティ対策費やコンサルタント費用などの資源(ヒト,モノ,カネ)が必要となります。これら必要となる資源をしっかりと確保し,投入することもトップマネジメントの役割となります。
情報セキュリティ・ISMSの重要性を伝達する(5.1 d)
組織の人員に対して,情報セキュリティの重要性や,ISMS要求事項へ適合することの意義を認識させることが求められています。組織の全従業員に向けて情報セキュリティの重要性についてメッセージを発信することや,トップマネジメントがISMSの取り組みの意義を直接伝える場として,経営層や幹部層向けの研修を実施するなど,階層別にISMSへの適合の重要性を伝えることも効果的なISMSの構築・運用に役立ちます。
ISMSが意図した成果が達成されるようにする(5.1 e)
ISMSの構築・運用によって成果を達成するために,トップマネジメントが関与することが求められています。ISMSを構築・運用することによって組織にどのような成果を得たいのかを明確にし,その意図した成果が達成されるようにトップマネジメントが積極的に関与していくことが重要であることを意味しています。
ISMSの有効性に貢献できるよう従業員を支援する(5.1 f)
トップマネジメント自らが,ISMSの有効性に寄与することを自ら模範として示し,ISMSの構築・運用をサポートすることが求められています。トップマネジメントが率先して指揮統率し,組織の人員がISMSの有効性に貢献できるよう支援することが,効率性や有効性の高いISMSを構築・運用するうえで重要なポイントとなります。
継続的改善を促進する(5.1 g)
ISMSの継続的な改善のために,トップマネジメントが積極的に関与することが求められています。ISMSが意図した成果が達成できな状況であれば,トップマネジメントは,自ら責任を持って継続的改善を促進しなければなりません。
管理層がリーダーシップを発揮できるように支援する(5.1 h)
管理層が所属する部門などにおいてリーダーシップを発揮できるように,トップマネジメントが管理層を支援することが求められています。一定規模以上の組織では,トップマネジメントの声が現場の隅々にまで届かないことがあるので,管理層を通じて伝えることとなりますが,その際に,管理層がリーダーシップを発揮できるようにサポートすることが,ISMSの構築・運用において重要となります。
構築・運用のポイント
トップマネジメントがISMSの取り組みで実践するべき8項目が規格の要求事項として挙げられていますが,具体的には,情報セキュリティ方針は「5.2 方針」で,情報セキュリティ目的は「6.2 情報セキュリティ目的及びそれを達成するための計画策定」で実施すべきことが規定されていますので,情報セキュリティ方針と情報セキュリティ目的については,そちらでポイントを解説していきます。
「5.1 リーダーシップ及びコミットメント」では,文書化要求はありませんが,ISMS認証審査の際にトップインタビューで,この要求事項の内容について審査員がトップマネジメントへ質問することがよくあるため,トップマネジメントに求められるこれらの取り組みの実施および結果については,記録をとって保存しておくことをお勧めします。