箇条5では,トップマネジメントがその責任において実施すべき内容のほか、情報セキュリティに対する組織の方針の確立やISMSにおける組織内の要員の役割,責任,権限を明確にして要員に伝達することについて要求しています。
この記事では,「5.3 組織の役割,責任及び権限」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「5.3 組織の役割,責任及び権限」では,部門や責任者に対して,情報セキュリティに関する役割と責任,権限を割り当てることを要求しています。
規格要求事項
5.3 組織の役割,責任及び権限
トップマネジメントは,情報セキュリティに関連する役割に対して,責任及び権限を割り当て,伝達することを確実にしなければならない。 トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。
a) ISMSが,この規格の要求事項に適合することを確実にする。
b) ISMSのパフォーマンスをトップマネジメントに報告する。注記 トップマネジメントは,ISMSのパフォーマンスを組織内に報告する責任及び権限を割り当ててもよい。
ISO/IEC 27001:2013(JIS Q 27001:2014)
「情報セキュリティに関連する役割」は,誰が担うのですか?
例えば,ISMSの推進責任者を “情報セキュリティ管理責任者” としたり,役員の中からCISO(Chief Information Security Officer)を任命することがあるぞ。組織の規模にもよるが,トップ自らでもいいし,管理部門の部門長でもいいんだ。有名無実化しないように,組織全体に指揮命令できる立場の人が担うことが求められるぞ。
規格では,ISMSの推進(規格への適合性)とパフォーマンス報告について,組織の中で役割を定めて責任と権限を割り当てることが求められています。特に,ISMSを推進する責任を担う人の役割はとても重要であり,ISMSを形骸化させないためにも,組織全体に影響力が及ぶ立場の人が責任者となることが望まれます。
ISMS構築・運用のための組織体制
ISMSを確立し,実施し,維持し,かつ,継続的に改善していくためには,組織のすべての人員の役割を定め,責任および権限を割り当て,トップマネジメントが組織内に周知し,その重要性を伝達する仕組みを構成することが求められています。
規格要求事項への適合(5.3 a)
規格は,トップマネジメントが,情報セキュリティに関する役割に対する責任および権限を明確にしてこれを割り当て,ISMSを構築・運用する組織体制を確立したうえで,組織がのISMSが規格の要求事項に適合することを確実にするために,内部監査組織に対して内部監査の責任および権限を割り当て,内部監査によってISMSの適合性および有効性の状況について確認することを要求しています。
パフォーマンスの報告(5.3 b)
規格は,トップマネジメントが,情報セキュリティに関する役割に対する責任および権限を明確にしてこれを割り当て,ISMSを構築・運用する組織体制を確立したうえで,組織のISMSが適切に実施され,維持されていることを確実にするために,パフォーマンス評価の責任および権限を割り当て,報告させることを要求しています。
構築・運用のポイント
ISMSの構築・運用には,部門の協力も不可欠となることから,トップマネジメントは,部門の責任者にもISMSの構築・運用にかかわる役割を与え,責任と権限を割り当てたうえで,ISMSの運用やパフォーマンスの状況について,定期的に報告を求めるとよいでしょう。
規格には文書化要求はありませんが,ISMSの組織体制図を作成し,ISMSにおける各部門の役割,責任,権限を文書化して,誰がどのような責任のもと何を実施するのかを明確にしておくことが,ISMSの適切かつ有効な構築・運用につながります。
ISMS組織体制の確立
ISMSを構築・運用する組織のメンバーの選任では,情報セキュリティに関する問題を検討するのに必要かつ十分な人員を選出するとともに,ISMSの運用について考慮し,関連部門から広くメンバーを選任することが望まれます。
次の図は,「5.3 組織の役割,責任及び権限」で要求されている主要な組織の役割を含む,ISMS構築・運用の組織体制の例です。
情報セキュリティ委員会の役割
ISMSを構築・運用する組織のうち,情報セキュリティ委員会は,関連する部門の管理層のメンバーを主として構成し,情報セキュリティに対する責任を担い,方向性を提言できるだけの理解と実行力を持った組織であるべきです。情報セキュリティ委員会では,次のようなISMSの中心的役割を担います。
- ISMSのための環境整備についての検討機関
- ISMS関連文書の策定および決定機関
- 情報セキュリティインシデント等のセキュリティ上の問題が発生した場合の対応検討機関
- ISMSの継続的改善に向けた取り組み内容の検討機関
情報セキュリティ対策チームの役割
情報セキュリティ対策チームは,ISMSの構築・運用の実務を担当するメンバーで構成します。メンバーは,適用範囲内の情報資産に関する現状を把握し,その取り扱いを検討するに十分な知見を持つ者を選任することが望まれます。情報資産の取り扱い方法の決定や,他部署との意見の調整、利害関係者のセキュリティ要求事項の内容把握など,調整力や経験に基づくコミュニケーションスキルが求められることもあります。
専門家・外部コンサルタント
ISMSの構築段階においては,外部コンサルタントを利用することがあります。また,運用段階においては,情報セキュリティインシデントの発生や法的問題に対応など,必要な局面でセキュリティベンダーや弁護士などに支援を要請することもあります。
ただし,外部の専門家やコンサルタントは,ISMSの構築・運用の支援を受けるためのものであることを理解し,各種の活動や意思決定は当事者である組織が主体として行うことを忘れてはいけません。