自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMSの基礎知識 » ISMS(ISO27001)認証に必要な組織体制とは?

ISMS(ISO27001)認証に必要な組織体制とは?

ISMS認証では3つの役割を決めることが必須事項になっています。それぞれの役割や目的を解説します。

ISMS(ISO27001)の組織体制・役職とは?

ISO27001に基づいてISMSを取得するには、組織内のセキュリティルール策定はもちろん、効率的に運用していくための体制も整える必要があります。そのため、ISMS認証では、情報セキュリティに対する役割を決めることを必須事項としています。必須事項について、それぞれの役割を見ていきましょう。

トップマネジメント

情報セキュリティ活動を統括したり、ISMSを効率よく運用、維持するために関係者を指揮し、支援することがトップマネジメントの役割です。人員の任命や権限付与、ISMS認証や運用のために十分な予算を割り当てることも要求されるなど、重要な役割を持つことから、情報セキュリティ管理最高責任者と呼ばれることもあります。

情報セキュリティ管理者

組織内の情報資産に対する管理責任者として、対策の指示や組織内の指導、緊急時の対応、事故後の指示などを行う役割です。特に、情報システム部などの専門部門ではなく、現場の業務の実態にあわせて推進する役割を担います。そのため、求められる情報セキュリティ対策について、しっかりと理解した上で、現場での情報セキュリティ対策を着実に推進しなければなりません。

情報セキュリティの管理責任を持つ上位者からの指示を受け、ウィルス対策ソフトの導入や更新、OSやブラウザの更新などの実施。また、基本的な事項をルール化するとともに、そのルールに沿っているかをチェックし、必要に応じて注意喚起を行うことも大切な役割になります。

内部監査員

ISMSが適切に稼動しているかを第三者の立場から判断するのが、内部監査員の役割です。ISMS認証を取得するための審査では、規定に沿ったISMSの構築・運用が審査されます。そのため、内部監査員にはISMSの内容を理解していることはもちろん、組織内のISMS適用範囲にあたる部署などのルールを把握していなければいけません。

効率的にISMS運用するために選出される役割

組織の情報セキュリティ活動を統括し、責任を負うために選出される情報セキュリティ担当者やシステム管理者は、効率的なISMSの運用に欠かせない要素です。組織の事情や規模により、まとめてISMS事務局と呼ぶこともあるようですが、それぞれの役割を説明していきます。

情報セキュリティ担当者

情報セキュリティ担当者の役割の中でも重要なのが、情報セキュリティポリシーを決定する事です。万が一トラブルが発生した場合、当事者への適切な指示、顧客や経営陣への報告、収束までの情報や文書を管理することも、情報セキュリティ担当者の役割です。また、ISMS認証に必要な手続きを行い、認証の取得、維持管理も行います。そのため、情報セキュリティに関して、一定程度の知識がある事はもちろんですが、各部門の部門長やリーダーが就任することが多く、情報セキュリティ管理者と情報セキュリティ担当者をあわせて、ISMS事務局とすることもあるようです。

システム管理者

アクセス制御の方針決定やアクセス権や社内ネットワークの管理など、組織内のシステムの情報セキュリティに対して責任を負うのが、システム管理者の主な役割です。組織内のシステムに精通していることが求められるため、情報システム部などから適任者が選出される傾向があります。

ISMS(ISO27001)の適用範囲別で検討したい役職

全社取得の場合

全社でISMS(ISO27001)取得をする場合、社長などの組織内の最高責任者がトップになります。しかし、組織の事情や規模により、取得のために人員を割く余力がなかったり、現場に関わるマネジメントを細かな実施が難しいケースは少なくありません。そのため、管理責任者を決定し、権限を委任することもあります。 また、ISMS(ISO27001)取得や運用に人員を割くことが難しい状態にあればコンサルタントなどの外部サービスの利用を検討するのも良いでしょう。

部門取得の場合

部門だけでISMS(ISO27001)取得をする場合は、部門長がトップになります。部門単位での取得であれば規模を限するため、構築に大きな手間がかからないと思われがちですが、既存の環境に少なからず影響が出ることもあります。

部門間を横断する業務が多い場合などは、逆にリスクが増えるケースを招くこともあります。そのため、安易な適用範囲の限定は、ISMSの適用範囲でない他部門との間で円滑な業務ができなくなったり、業務の煩雑化を招くこともあるので範囲の限定にも注意が必要です。

ISMSでは役職を担当以外の方の理解も必要になる

役割を定めて情報セキュリティの管理は、ISMS認証の取得に必要な事項のため、責任者を明確にすること大切です。しかし、大切なことは形式ではなく、 担当に任せっきりにせず、担当以外の人も情報セキュリティの理解を深める理解することです。ISMSは組織内における情報セキュリティのリスクを管理するための仕組みや手段ですので、教材作成や研修など、教育体制構築も検討しましょう。

ISMS(27001)体制作りのポイント

ISMS(27001)認証に必要な体制を作る上でのポイントは、認証を取得した後でも継続した運用ができること。ルールが厳しすぎて形骸化したり、仕組みが複雑で運用できなければ本末転倒となってしまいます。認証を取得することが目標ではなく、きちんと機能する体制構築について、それぞれご説明しています。

決裁権があるか

ISMS(27001)取得には、トップマネジメントのコミットメントも含めた体制作りが不可欠です。組織に必要なセキュリティレベルにより、その運用のためにかかる資金などの資源の提供は、担当者の権限で決められるものではありません。そのため、決裁権のあるトップマネジメントの積極的な関与は重要なポイントです。

情報システムに詳しいか

ISMS(27001)取得を推進するためのメンバー選定には、情報システムに詳しい方を加えましょう。知識があれば迅速な意思決定や課題解決の時間が短縮が可能となります。さらに、セキュリティインシデント発生時も、担当者を決めておくことで拡大防止対策などへの迅速な対応ができます。

各部門の情報資産を把握できるか

ISMS(27001)を取得する過程では、組織内の各部門の情報資産を洗い出し、適切なセキュリティ対策を推進する必要があります。さらに、運用後も各部署に担当者を配置するなど、情報資産を把握できるような体制を整えておく必要があります。

まとめ

ISMS認証に必要な組織体制を構築は、結果的にサイバー攻撃や人的要因のセキュリティインシデントの発生を抑制になり、組織にとってプラスに働きます。さらに、ISMS認証により組織的なセキュリティ対策の実施をアピールできるため、取引先からの信頼度も向上します。

しかし、準備には膨大な知識と時間がかかるため、日々の業務で手一杯になり、認証のための人材を用意できない事情もあると思います。自社の知識やノウハウでは難しいと判断した際には、コンサルを利用してISMS認証を目指す方が効率的かもしれません。

⽬的別おすすめの
ISMS認証コンサル

ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。

【費⽤】
で選ぶなら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(https://www.iso-sp.co.jp/)
  • 業界最安値※13.3万円/月
  • 実働不要フルアウトソーシング
  • 取得後も負担がない運⽤サポート
【対応業種】
で選ぶなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
  • 幅広い業種への対応実績
  • 企業実態に合わせたISO取得
  • 顧客の工数を約80%カット
ISOサポート ISOプロ
費用 月額3.3万円
(税込)
月額4.4万円
(税込)
期間 通常6か月 通常6~7か月
支援実績 1,450社 1,500件超
継続率 97% 90.8%

【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。