ISMSとトップマネジメント
ISMSでは、組織のトップに対しても情報資産を適切に管理するためのさまざまな指示が要求されます。どのような要求事項があるのかISMSのトップマネジメントについてまとめました。
ISMSでよくでるトップマネジメントとは?
組織を指揮し、ISMSの構築や運用にリーダーシップが求められるトップマネジメント。わかりやすくいえば「組織の代表者(トップ)」のこと、組織を指揮し、管理する個人又は複数名のことを指します。
企業の場合は社長や会長などの経営者がトップマネジメントということが一般的ですが、組織内でISMSに必要な資源が利用可能である管理層の個人やグループを指します。また、権限を委託できたり、資源を提供する力を持ったりする人がなることもあります。企業や組織内でも特定の部署でISMSの構築や運用を適用する場合などは、部長がトップマネジメントになることもあります。
トップマネジメントに求められる8つの要求事項
ここでは、ISMSの規格でトップマネジメントに求められる8つの要求事項について解説しています。ISMSの円滑な運営のために、トップマネジメントに求められる役割や責任が知りたいという方や適切な権限の委譲や資源の提供などについて知りたい方も、ぜひ参考にしてください。
a.情報セキュリティ方針及び情報セキュリティ目的を確立し,それらが組織の戦略的な方向性と両立することを確実にする。
情報セキュリティ方針及び情報セキュリティ目的は、いずれも組織の情報セキュリティ体制を高めるために求められます。
情報セキュリティ方針は、情報資産の不正利用、サイバー攻撃などのさまざまなリスクから情報資産を守るために作成します。具体的には、情報資産を保護するためのルールや運用規定、対策基準などが記載されることが一般的です。また、情報セキュリティ方針を明示することにより、組織内の情報セキュリティへの意識向上や取引先、顧客からの信頼獲得などのメリットもあります。
情報セキュリティ目的は、情報セキュリティ方針を行なうために達成すべき目標であり、情報セキュリティ方針と整合していること、具体的であることも求められます。
b.組織のプロセスへのISMS要求事項の統合を確実にする。
組織の中にISMSを組み込むには、組織内のプロセスに合ったISMSを構築し、確実に運用することが求められています。
組織とISMSのプロセスが別々になってしまうことで、ISMSが形骸化してしまうことのないよう注意が必要です。
c.ISMSに必要な資源が利用可能であることを確実にする。
ISMSの構築・運用に必要な資源の確実な投入が求められています。わかりやすくいえば「ISMSを適切に構築・運用するために必要な、お金や人材、物品を確保しておきましょう」ということです。
ISMSの構築・運用には費用がかかります。具体的には、人件費やISMS構築・運用にかかる費用、セキュリティ対策やコンサルタント費用などのほか、資源(ヒト・モノ・カネ)も必要となります。これら必要となる資源を確保し、利用可能にすることもトップマネジメントの重要な役割のひとつです。
d.有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。
組織の構成員に対して、情報セキュリティの重要性やISMSの意義を認識させることが求められています。例えば、毎日のように発生している情報漏れなどの事件や事故。発生の原因はさまざまですが、管理の手順など、情報資産の取り扱いが煩雑であるということも主要な原因とされています。こうした事件や事故を発生させないために、情報管理の重要性を周知させることもトップマネジメントに求められます。
具体的には、情報セキュリティの重要性についてメッセージを発信することや経営層や幹部層向けの研修の実施ですが、こうした取り組みにしっかりと関わることが大切です。
e.ISMSがその意図した成果を達成することを確実にする。
ISMSの構築・運用による成果を達成するために、トップマネジメントの関与が求められています。簡単にまとめると「組織内の課題を整理し、セキュリティリスクの発生を防ぎましょう」ということです。
例えば、組織のセキュリティ体制や情報資産の取り扱いがルール化がされていない場合、情報漏れなどのセキュリティリスク発生が考えられます。
ISMSを構築・運用することによって、組織の得たい成果、つまりセキュリティリスク発生を防ぐことを明確にし、達成されるようにトップマネジメントが積極的に関与していくことを意味しています。
f.ISMSの有効性に寄与するよう人々を指揮し,支援する。
ISMSの有効性に寄与することを自ら模範として示し、ISMSの構築・運用を支援することがトップマネジメントに求められています。具体的には研修の実施などが挙げられます。効率を良くISMSを構築・運用するためにトップマネジメントが率先して指揮統率し、組織の人員を支援をしましょうということです。
さらに、トップマネジメントは組織内の人員の意見にも耳を傾け、協力を積極的に行う意味も含まれています。多忙なトップマネジメントには、なかなか難しいと感じる方もいると思いますが、効率的なISMSを構築・運用するためには、こうした項目も重要になります。
g.継続的改善を促進する。
ISMSの継続的な改善のために、トップマネジメントが積極的に関与することが求められます。ISMSの構築・運用において、意図した成果が達成できない状況であれば、トップマネジメントは責任を持って継続的改善を促進しなければなりません。わかりやすくいえば「改善を重ねてレベルアップできるようにトップは色々なところに耳を傾けて積極的に現場をサポートしましょう」ということです。
ISMSを取得・運用するにあたって、現場の人員が不便に感じているところや改善しなければならないことを汲み取り、必要な物品を購入するなど、組織としてレベルアップできるように、トップマネジメントが継続的に改善をサポートすることを意味しています。
h.その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を支援する。
管理層が所属する部門などにおいてリーダーシップを発揮できるように、トップマネジメントが管理層を支援すること。ISMSを取得・運用するにあたって、組織の規模などによってはトップマネジメントからの指示が現場に届かない可能性があります。そのため、企業であれば部門長クラスなどの管理層を通じて伝えることとなりますが、その際に管理層がリーダーシップを発揮できるように支援する必要があるということです。
構築・運用のポイント
ISMSをこれから取得する場合も取得後も、要求事項に準じた運用が求められます。ISMSは取得することで終了するものではなく、常に改善を続けていくものです。そのため、トップマネジメントも主体的に考える必要があり、あわせて継続的な改善をサポートしながら確実に運用することがポイントです。
また、ISMSの有効期間は3年ですが1年に一度「維持審査」と呼ばれる審査があります。審査の目的は、運用上の問題がないかの確認となるため、初回審査のように多くの工数や手間はかかりません。しかし、運用状況に指摘事項があれば是正処置の実施が課せられるため適正な運用を維持しておきましょう。
まとめ
ISMSにおいて、トップマネジメントに求められる要求事項について解説してきました。トップマネジメントには、8つの重要な役割を果たすことが求められます。また、ISMS運用状況を管理し、継続的な改善をサポートすることもトップマネジメントが担う役割です。
こうしたISMS構築・運用には幅広い知識が必要であり、多くの時間も必要になります。そのため最近では、ISMS構築・運用を支援するコンサルティングを受けることも、ひとつの方法として認知されるようになってきました。
組織内の知識やノウハウでは難しいと判断した際には、専門知識を有したコンサルタントに相談してみるのもひとつの手段ではないでしょうか。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。