ISMS事務局の悩み
ISMS事務局は悩み多きポジションだと思う。かくいう私もそのうちのひとりだ
- ISMS運営推進が事務局に丸投げされている
- 社内からの協力は少なく各組織の状況がわからない、作業をお願いしてもなかなかやってくれない
- そのため表面的な分析や対策に終始してしまい、ISMS外部審査では取り繕いで臨まざるを得ない
- 結果、事実上ひとりISMS事務局となってしまい、孤立化からモチベーションも落ちる
企業規模が小さいと情シスがISMS事務局になっていることが多い。セキュリティ等の施策を情シスが主として行うことが理由だろう。総務部門がされているケースもあるという
規模が大きくなったり上場すれば、内部統制部門がISMS事務局になっていくのが一般的だと思われる
ISMSの情報セキュリティ組織に対する考え方
■ISMS認証とは
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略称で、組織の情報セキュリティを管理するための仕組みです。
「ISO/IEC 27001」はISMSの国際規格であり、情報セキュリティの3つの要素(機密性・完全性・可用性)を構築して運用するための枠組みを定めています
ISMSの認証プロセスでは、独立した第三者であるISMS認証機関が、公正な観点から組織のセキュリティ対策・管理状況を評価します。ISMS認証は、組織が『ISO/IEC 27001』に沿った適切なセキュリティ管理体制を持っていることの証明となります
ISO/IEC 27001:2022の「5.3 組織の役割、責任及び権限」では、情報セキュリティに関する役割に対して、責任や権限を与え、情報セキュリティのマネジメントシステムを運用するといった記載がある
責任と権限を与えられた役割を持った人たちがいっしょにISMS活動を推進する。推進メンバは必要に応じて社内メンバへの指示が可能な権限を持つ。そうして「全社一丸で」と推進いうかたちであるべきべきであろう
十分な権限すら与えられないまま、ひとりでISMS推進。それでISO/IEC 27001に沿ったISMSの構築・運用ができるのか疑問である。当の「ひとりISMS」の仕事と責任は重くなるばかりである
何のためにISMS認証を取得するのかを考えてみる
あなたの会社は、なぜISMS認証取得するとの決断をしたのか
ISMS認証の取得維持を通じ、より高度のセキュリティを確保することでの経営強化やお客様の信頼を得るためというのはよく聞くはなし
そうであれば全社で取り組まないとたとえ認証取得できたとしても、経営力の向上にはつながらないだろう
ISMS事務局は指令塔
「ISMS事務局は司令塔」と考えてISMS組織のマネジメントを行うのはいかがか
私はこの方向性で以前よりも社内協力を得られ、モチベーションも高めることができた
まず、問題解決等のアイテムを整理しそれを時系列ことにセットした年間計画を作成。次に、年間計画の各アイテムをISMS組織の各メンバにアサイン。そして、通常のプロジェクトマネジメント同様にアイテムを管理していく。昨今はプロマネのツールもよいものがありそれらの利用や、定例会議等で進捗管理を行っていくのもよい
ヒトゴトからジブンゴトへ引き戻し、みんなでかかることができればISMS認証を取得する以上の情報セキュリティの強化向上が進む
これができれば会社経営そのものの向上につながる
コメント