こんにちは。

さて、今回は以前トップマネジメントについて取り上げた記事「【徹底解説】ISMSにおけるトップマネジメント【前編】」の後編となります。

トップマネジメントでは何をするの？

ISO27001の要求事項においては、以下のような事項が求められています。

• 情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にすること
• 自社のプロセスへのISMS要求事項の統合を確実にすること
• ISMSに必要な資源が利用可能であることを確実にすること
• 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達すること
• ISMSがその意図した成果を達成することを確実にすること
• ISMSが有効性に貢献するよう人々を指揮し、支援すること
• 継続的な改善を促進すること
• その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、その管理層の役割を支援すること

※JISQ27001:2014、P.3、5.1リーダーシップ及びコミットメントより抜粋

上記のうち、前回は1つ目～4つ目を解説しましたので、今回は5つ目～8つ目について解説します。

5. ISMSがその意図した成果を達成することを確実にすること

これは、難しく書かれていますが、以下のようなことを指しています。

• 組織内でISMSを構築/運用することで、会社の事業を発展させることができるようにしましょう

ISMSを取得することで、組織としてどんな成果が得られるのかを明確にし、その成果を十分に得られるように関与していくことが重要であることを意味しています。

成果が得られるようにするためには、必要な人員を確保したり、モノを購入したり、組織内でISMSを取得するために従業者に対してルールを認識させたり、といった対応をおこなうことが必要になります。

必要なことはたくさんありますが、これらが「計画的」に実施できるように関与していきましょうということを指しています。

6. ISMSが有効性に貢献するよう人々を指揮し、支援すること

これは、例えば以下のようなことを指しています。

• 組織内でISMSがうまく構築/運用できるように、従業者に対してやるべきことをしっかりと伝えて、サポートしましょう

従業者に教育を受けさせることもしかり、定めたルールを認識・実施させることもしかり、ISMSを取得するためには多くのことを実施しなければならないので、やるべきことをやらせましょうということです。

そして、効率よくそれらのことを実施するために、トップは従業者の意見をしっかり聞いてサポートしてあげましょうということも意味しています。

なかなか難しいかもしれませんが、効率よくISMSを構築・運用するためには、この項目も重要となってきます。

トップや部門長など、組織の従業者をマネジメントする側が十分に協力していく必要があります。

7. 継続的な改善を促進すること

もう少し分かりやすいように言い換えてみると、以下のようなことを指しています。

• 組織内でISMSを構築/運用するにあたって、改善すべき部分は改善してレベルアップできるように、トップはどんどん関わっていきましょう

ISMSを取得・運用するにあたって、例えば現場の従業員が不便に感じているところ、改善しなければならないことを汲み取り、モノを購入したり、ソフトウェアを入れ替えるなど、必要な部分は改善し、組織としてレベルアップしていきましょうということを意味しています。

トップは色々なところに耳を傾けて、現場をサポートしてきましょう。ということですね。

8. その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、その管理層の役割を支援すること

少し長めの内容ですが、以下のようなことを指しています。

• 部門長レベルの人間が主導してISMSを構築・運用できるようサポートしましょう

ISMSを取得・運用するにあたって、従業員は必要な措置を行っていく必要がありますが、規模や組織体によってはトップからの指示だけでは現場に声が届かない可能性があります。

そのため、部門長クラスの人間がトップからの声を届けることで、円滑にISMSを取得・運用していけるようにサポートする必要があります。

「現場にやってもらいたいこと」をまとめて部門長に伝え、いつどんな手順を現場に認識させるか、というところがポイントですね。

ISMSにおけるトップマネジメントの役割については、以上となります。

それでは！