「ISMS規格をわかりやすく解読する」シリーズの3回目は、「5.リーダーシップ」について見ていきたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
5.1リーダーシップ及びコミットメント
この章から「トップマネジメント」という用語が頻発します。トップマネジメントとは、「最高位で組織を指揮し、管理する個人又は人々の集まり」のことです。指揮し、管理するというのが難しい表現ですが、もう少しかみ砕くと、組織内で権限を委託できたり、資源を提供する力を持ったりする人のことを指しています。
実際は会社の社長だったりするわけですが、4章で定めたISMSの適用範囲が全社ではない場合、例えば、ある部署に適用させる場合は、その部署の部長がトップマネジメントになったりします。
そのトップマネジメントが、a)からh)までに書かれていることに従って、リーダーシップとコミットメントを実証しなければいけないと書かれています。「コミットメント」にはたくさんの日本語訳がありますが、ここでは「(トップマネジメントによる)約束・誓約」と考えるとわかりやすいでしょう。
5.2方針
ここでは5.1にも登場した「情報セキュリティ方針」について書かれています。ここで「方針」とは「トップマネジメントによって正式に表明された組織の意図及び方向付け」のことです。
「正式に表明された」というのは、「文章として正式に提示された」と読み替えてもいいでしょう。つまり、「情報セキュリティ方針」という文章が必要になってきます。そして、その方針に盛り込まなければいけない事項がa)からd)に記載されています。更に、それ以降e)からg)で、この方針が満たすべき事項が定められています。
5.3組織の役割、責任及び権限
今までさんざんトップマネジメントのすべきことが挙げられましたが、ISMSの責任者がトップマネジメントである必要はありません。
実際、トップマネジメントは、自分以外の人に、ISMSに関する責任や権限を付与することができます。より具体的には、(1)実際の業務を、きちんとISMS規格の要求事項を満たすようにする、(2)その結果(パフォーマンス)をトップマネジメントに報告する、の2点に関しての責任と権限を、ISMS責任者に割り当てる必要があります。