このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格は細かく紹介しようと思えばいくらでも深めることができます。ということで、一度じっくり見てみようというものです。
今回は、【5.1 リーダーシップ及びコミットメント】をじっくり読み砕いていきましょう。
概要
簡単にまとめると「トップマネジメント(組織の代表)は積極的にISMSに関わりましょう」です。
そのために、規格で定められた以下8つの項目を実践していくことで積極的に関わっているという証明をすることになります。
- 組織の方向性と整合性のとれた情報セキュリティの方針と目的を立てる
- 組織の仕組みにISMSを違和感なく組み込む
- ISMSで必要な資源(ヒト・モノ・カネなど)を利用できるようにする
- 組織の情報セキュリティの仕組みやISMSの求めることを守ることがなぜ大切か周知する
- ISMSが意図した成果が達成されるようにする
- ISMSを有効な取り組みにするように人員への指揮やサポートを充実させる
- 継続的改善を促進させる
- 管理層が自分の責任でリーダーシップの役割を果たせるようにサポートする
次項で、各項目についてもう少し詳細に見てみましょう。
トップマネジメントが積極的に取り組むべきこと
組織の方向性と整合性のとれた情報セキュリティの方針と目的を立てる
具体的に、情報セキュリティの方針に関する項目や目的に関する項目は、別に存在しています(「5.2 方針」「6.2 情報セキュリティ目的及びそれを達成するための計画策定」)。
そのためここで求められることは、その作成する方針や目的が「組織の経営方針や戦略などと整合性が取れているようにする」ということです。
例えば、事業的にそもそも顧客からの個人情報をあまり取り扱っていないのに、「個人情報を保護するために~」といった方針を立ててもあまり意味がないですし、反対に個人情報の取扱いが大量に発生しているのであれば、それを守ることを主軸において方針や目的を考えるべきでしょう。
また、会社としてペーパレス化を進めているわけではないのに、紙媒体の利用を減らすような目的を立てても、実態を反映できていないものにしかなりません。
このように、組織の戦略や方向性は一つではないため、その方向性に合った方針や目的を立てられるようにトップがしっかりと関わることが大切ということになります。
組織の仕組みにISMSを違和感なく組み込む
ISMSのいいところは組織の形に合わせて仕組み自体を柔軟に変化させられるということです。
なのでこの項目では、組織に合うかどうか考えずにテンプレートのような仕組みを無理やり当てはめるのではなく、組織の運用実態を阻害しないように仕組みを作ってうまくなじませましょうということです。
具体的に何かに取り組むというものではないですが、組織の全体像を把握して統括するトップだからこそ、アドバイスしたり対応させていくことのできる力があるともいえます。
ISMSで必要な資源(ヒト・モノ・カネなど)を利用できるようにする
これは予算を決める権限がある立場の人にしかできないことです。そしてそのような権限を全体的に統括するのもトップの役割であることが多いでしょう。
なんでもかんでも挙がってきたものは承認して資源を提供してくださいというわけではないですが、本当に必要とされるものには人員や資金などをしっかりと投入して、対応していけるようにしましょうということです。
組織の情報セキュリティの仕組みやISMSの求めることを守ることがなぜ大切か周知する
ISMSに主体的に関わる担当者やセキュリティについて詳しい専門家からすれば、情報セキュリティのルールを守ることや、ISMSの規格が求めることを守ることの重要性を判断することができますが、多くの一般従業員からすれば、「関係ないところで何か仕組みが作られている」程度にしか思っていないかもしれません。
情報セキュリティは一人でも守っていない人がいれば、そこが穴となりすべてが崩壊する可能性を秘めたものです。
トップの立場からしっかりと重要性を発信して、組織全体が積極的に関わっていける環境づくりを行いましょう。
ISMSが意図した成果が達成されるようにする
ここでの意図した成果とは「情報の機密性・完全性・可用性を維持すること」と「信頼を担保すること」です。
具体的に何かに取り組むと考えるよりは、しっかりとしたISMSの取り組みが行われるようにサポートしましょうくらいの認識が良いと思います。
ISMSを有効な取り組みにするように人員への指揮やサポートを充実させる
資源の確保や取り組みの重要性周知と重なる部分もありますが、情報セキュリティの取り組みにおいて最も重要なのは個々の意識・働きです。
そこで、ISMSを有効的に働かせるためにも、各従業者に対して必要な指示やサポート体制を確保しておきましょうということになります。
継続的改善を促進させる
簡単に述べると、より良くするための活動をしましょうということになります。
そのためには、トップ自身が積極的に改善案を出すという方法もあれば、従業者が改善案を出しやすい環境を構築するという方法もあるでしょう。
いずれにしろ、これらの活動を活発的に行うことのできる環境づくりが大切になります。
管理層が自分の責任でリーダーシップの役割を果たせるようにサポートする
小規模な組織であればトップが全体を統括することも可能かもしれませんが、ある程度の規模になるとすべてを統括することは難しくなります。
そのような場合には、各部署の部長など管理層にあたる方が間に入ってトップの代わりに活動することも多くなると思います。
その際には、しっかりと管理層の人が活動していけるように環境を整えましょうということになります。
まとめ
今回は、【5.1 リーダーシップ及びコミットメント】について解説してきました。
実際のISMSの取り組みでは、トップマネジメントがこれらのことを意識して行う場面というのはあまりなく、それぞれの役割や責任を決めて担当者に移譲するケースが多いと思います。
しかしその場合にも、トップマネジメントは「これらの役割をもって積極的に関わる必要がある」「移譲しても上記の最終的な責任は自分にある」といった認識を持っておくことが大切です。