2021年03月17日

5.3 組織の役割、責任及び権限【JIS Q 27001】

ishihama
石濱 雄基 記事一覧
Posted in ISMS/ISO27001, 規格本文, 規格解説,
このエントリーをはてなブックマークに追加 LINEで送る

このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格は細かく紹介しようと思えばいくらでも深めることができます。ということで、一度じっくり見てみようというものです。

今回は、【5.3 組織の役割、責任及び権限】をじっくり読み砕いていきましょう。

概要

簡単にまとめると「トップマネジメントは情報セキュリティに関する役割や責任を割当てて伝えましょう」です。
情報セキュリティに関する役割自体はたくさん考えられるのですが、この項目で割り当てることが求められる役割は以下の2つです。

  • ISMSが規格(JIS Q 27001)に適合したものになるようにする
  • ISMSのパフォーマンスをトップマネジメントに報告する

さらに、注記として以下の役割を割り当ててもいいですよということが記載されています。

  • ISMSのパフォーマンスを組織内に報告する

次項で、各項目についてもう少し詳細に見てみましょう。

割り当てる必要がある役割

ISMSが規格に適合したものになるようにする

一言で言うと、「組織で構築するISMSを規格(JIS Q 27001)に則るように導く役割」ということになります。
つまりは、ISMSのプロジェクトリーダー・総責任者的な役割であるとイメージしていただければよいと思います。

ちなみにこれを可能にするためには、必要な人員への指示をはじめとした権限を持っている、または与えられていることが必要になるでしょう。

ISMSのパフォーマンスをトップマネジメントに報告する

ISMSの実際の運用担当者や責任者はトップマネジメントから権限を委譲された人になることが多いです。つまり、取り組みの実情を、トップマネジメントが実は把握していないということが十分にあり得ます。
そうならないために、しっかりとISMSで取り組んだまとめをトップマネジメントに報告して総括できるようにする役割を定めましょうということです。

ISMSのパフォーマンスを組織内に報告する

この役割は注記なので割り当てなくても問題はありません。
ただ、やはり、ISMSは組織全体で積極的に取り組むことでより効果が得られるものでもあるため、組織に実際の運用した結果を報告することでモチベーションの向上などにつなげられるというメリットもあります。

 

これらの役割は別々に記載されていますが、多くの場合は「情報セキュリティ管理者」などの形でISMSのプロジェクトリーダーに一任されていることも多いです。
また、一任すること自体は問題ありません。

まとめ

今回は、【5.3 組織の役割、責任及び権限】について解説してきました。
ISMSの実際の運用はトップマネジメントではない人に委任することが多いと思います。
そういった場合にもしっかりと構築・運用ができるように、必要な役割や権限・責任を定めておくことが大切です。

参考

このエントリーをはてなブックマークに追加 LINEで送る

2021年3月17日

5.3 組織の役割、責任及び権限【JIS Q 27001】

Posted in ISMS/ISO27001, 規格本文, 規格解説

このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格は細かく紹介しようと思えばいくらでも深めることができます。ということで、一度じっくり見てみようというものです。

今回は、【5.3 組織の役割、責任及び権限】をじっくり読み砕いていきましょう。

概要

簡単にまとめると「トップマネジメントは情報セキュリティに関する役割や責任を割当てて伝えましょう」です。
情報セキュリティに関する役割自体はたくさん考えられるのですが、この項目で割り当てることが求められる役割は以下の2つです。

  • ISMSが規格(JIS Q 27001)に適合したものになるようにする
  • ISMSのパフォーマンスをトップマネジメントに報告する

さらに、注記として以下の役割を割り当ててもいいですよということが記載されています。

  • ISMSのパフォーマンスを組織内に報告する

次項で、各項目についてもう少し詳細に見てみましょう。

割り当てる必要がある役割

ISMSが規格に適合したものになるようにする

一言で言うと、「組織で構築するISMSを規格(JIS Q 27001)に則るように導く役割」ということになります。
つまりは、ISMSのプロジェクトリーダー・総責任者的な役割であるとイメージしていただければよいと思います。

ちなみにこれを可能にするためには、必要な人員への指示をはじめとした権限を持っている、または与えられていることが必要になるでしょう。

ISMSのパフォーマンスをトップマネジメントに報告する

ISMSの実際の運用担当者や責任者はトップマネジメントから権限を委譲された人になることが多いです。つまり、取り組みの実情を、トップマネジメントが実は把握していないということが十分にあり得ます。
そうならないために、しっかりとISMSで取り組んだまとめをトップマネジメントに報告して総括できるようにする役割を定めましょうということです。

ISMSのパフォーマンスを組織内に報告する

この役割は注記なので割り当てなくても問題はありません。
ただ、やはり、ISMSは組織全体で積極的に取り組むことでより効果が得られるものでもあるため、組織に実際の運用した結果を報告することでモチベーションの向上などにつなげられるというメリットもあります。

 

これらの役割は別々に記載されていますが、多くの場合は「情報セキュリティ管理者」などの形でISMSのプロジェクトリーダーに一任されていることも多いです。
また、一任すること自体は問題ありません。

まとめ

今回は、【5.3 組織の役割、責任及び権限】について解説してきました。
ISMSの実際の運用はトップマネジメントではない人に委任することが多いと思います。
そういった場合にもしっかりと構築・運用ができるように、必要な役割や権限・責任を定めておくことが大切です。

参考

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする