自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMSの基礎知識 » ISMSとトップマネジメント

ISMSとトップマネジメント

ISMSでは、組織のトップに対しても情報資産を適切に管理するためのさまざまな指示が要求されます。どのような要求事項があるのかISMSのトップマネジメントについてまとめました。

ISMSでよくでるトップマネジメントとは?

組織を指揮し、ISMSの構築や運用にリーダーシップが求められるトップマネジメント。わかりやすくいえば「組織の代表者(トップ)」のこと、組織を指揮し、管理する個人又は複数名のことを指します。

企業の場合は社長や会長などの経営者がトップマネジメントということが一般的ですが、組織内でISMSに必要な資源が利用可能である管理層の個人やグループを指します。また、権限を委託できたり、資源を提供する力を持ったりする人がなることもあります。企業や組織内でも特定の部署でISMSの構築や運用を適用する場合などは、部長がトップマネジメントになることもあります。

トップマネジメントに求められる8つの要求事項

ここでは、ISMSの規格でトップマネジメントに求められる8つの要求事項について解説しています。ISMSの円滑な運営のために、トップマネジメントに求められる役割や責任が知りたいという方や適切な権限の委譲や資源の提供などについて知りたい方も、ぜひ参考にしてください。

a.情報セキュリティ方針及び情報セキュリティ目的を確立し,それらが組織の戦略的な方向性と両立することを確実にする。

情報セキュリティ方針及び情報セキュリティ目的は、いずれも組織の情報セキュリティ体制を高めるために求められます。

情報セキュリティ方針は、情報資産の不正利用、サイバー攻撃などのさまざまなリスクから情報資産を守るために作成します。具体的には、情報資産を保護するためのルールや運用規定、対策基準などが記載されることが一般的です。また、情報セキュリティ方針を明示することにより、組織内の情報セキュリティへの意識向上や取引先、顧客からの信頼獲得などのメリットもあります。

情報セキュリティ目的は、情報セキュリティ方針を行なうために達成すべき目標であり、情報セキュリティ方針と整合していること、具体的であることも求められます。

b.組織のプロセスへのISMS要求事項の統合を確実にする。

組織の中にISMSを組み込むには、組織内のプロセスに合ったISMSを構築し、確実に運用することが求められています。

組織とISMSのプロセスが別々になってしまうことで、ISMSが形骸化してしまうことのないよう注意が必要です。

c.ISMSに必要な資源が利用可能であることを確実にする。

ISMSの構築・運用に必要な資源の確実な投入が求められています。わかりやすくいえば「ISMSを適切に構築・運用するために必要な、お金や人材、物品を確保しておきましょう」ということです。

ISMSの構築・運用には費用がかかります。具体的には、人件費やISMS構築・運用にかかる費用、セキュリティ対策やコンサルタント費用などのほか、資源(ヒト・モノ・カネ)も必要となります。これら必要となる資源を確保し、利用可能にすることもトップマネジメントの重要な役割のひとつです。

d.有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。

組織の構成員に対して、情報セキュリティの重要性やISMSの意義を認識させることが求められています。例えば、毎日のように発生している情報漏れなどの事件や事故。発生の原因はさまざまですが、管理の手順など、情報資産の取り扱いが煩雑であるということも主要な原因とされています。こうした事件や事故を発生させないために、情報管理の重要性を周知させることもトップマネジメントに求められます。

具体的には、情報セキュリティの重要性についてメッセージを発信することや経営層や幹部層向けの研修の実施ですが、こうした取り組みにしっかりと関わることが大切です。

e.ISMSがその意図した成果を達成することを確実にする。

ISMSの構築・運用による成果を達成するために、トップマネジメントの関与が求められています。簡単にまとめると「組織内の課題を整理し、セキュリティリスクの発生を防ぎましょう」ということです。

例えば、組織のセキュリティ体制や情報資産の取り扱いがルール化がされていない場合、情報漏れなどのセキュリティリスク発生が考えられます。

ISMSを構築・運用することによって、組織の得たい成果、つまりセキュリティリスク発生を防ぐことを明確にし、達成されるようにトップマネジメントが積極的に関与していくことを意味しています。

f.ISMSの有効性に寄与するよう人々を指揮し,支援する。

ISMSの有効性に寄与することを自ら模範として示し、ISMSの構築・運用を支援することがトップマネジメントに求められています。具体的には研修の実施などが挙げられます。効率を良くISMSを構築・運用するためにトップマネジメントが率先して指揮統率し、組織の人員を支援をしましょうということです。

さらに、トップマネジメントは組織内の人員の意見にも耳を傾け、協力を積極的に行う意味も含まれています。多忙なトップマネジメントには、なかなか難しいと感じる方もいると思いますが、効率的なISMSを構築・運用するためには、こうした項目も重要になります。

g.継続的改善を促進する。

ISMSの継続的な改善のために、トップマネジメントが積極的に関与することが求められます。ISMSの構築・運用において、意図した成果が達成できない状況であれば、トップマネジメントは責任を持って継続的改善を促進しなければなりません。わかりやすくいえば「改善を重ねてレベルアップできるようにトップは色々なところに耳を傾けて積極的に現場をサポートしましょう」ということです。

ISMSを取得・運用するにあたって、現場の人員が不便に感じているところや改善しなければならないことを汲み取り、必要な物品を購入するなど、組織としてレベルアップできるように、トップマネジメントが継続的に改善をサポートすることを意味しています。

h.その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を支援する。

管理層が所属する部門などにおいてリーダーシップを発揮できるように、トップマネジメントが管理層を支援すること。ISMSを取得・運用するにあたって、組織の規模などによってはトップマネジメントからの指示が現場に届かない可能性があります。そのため、企業であれば部門長クラスなどの管理層を通じて伝えることとなりますが、その際に管理層がリーダーシップを発揮できるように支援する必要があるということです。

構築・運用のポイント

ISMSをこれから取得する場合も取得後も、要求事項に準じた運用が求められます。ISMSは取得することで終了するものではなく、常に改善を続けていくものです。そのため、トップマネジメントも主体的に考える必要があり、あわせて継続的な改善をサポートしながら確実に運用することがポイントです。

また、ISMSの有効期間は3年ですが1年に一度「維持審査」と呼ばれる審査があります。審査の目的は、運用上の問題がないかの確認となるため、初回審査のように多くの工数や手間はかかりません。しかし、運用状況に指摘事項があれば是正処置の実施が課せられるため適正な運用を維持しておきましょう。

まとめ

ISMSにおいて、トップマネジメントに求められる要求事項について解説してきました。トップマネジメントには、8つの重要な役割を果たすことが求められます。また、ISMS運用状況を管理し、継続的な改善をサポートすることもトップマネジメントが担う役割です。

こうしたISMS構築・運用には幅広い知識が必要であり、多くの時間も必要になります。そのため最近では、ISMS構築・運用を支援するコンサルティングを受けることも、ひとつの方法として認知されるようになってきました。

組織内の知識やノウハウでは難しいと判断した際には、専門知識を有したコンサルタントに相談してみるのもひとつの手段ではないでしょうか。

よく読まれるISMSの基礎知識ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる