2017年09月28日

【徹底解説】ISMSにおけるトップマネジメント【前編】

lrmcorp
LRM株式会社 記事一覧
Posted in 規格解説,   Tagged
このエントリーをはてなブックマークに追加 LINEで送る

こんにちは。

みなさん、万が一情報漏えいが発生してしまった場合の対応手順や体制などは策定しているでしょうか?

情報漏えい事件が発生してしまうと、会社としては大きな損失となります。

その損失を抑えるためには、そもそも情報漏えいを発生させないように注意することはもちろん大事ですが、人間が仕事を行っている以上、どこかでミスは発生してしまうものです。

そのため、万が一情報漏えいが起きてしまった際のことを考え、しっかり対応手順を整備しているかどうかというのも、大事なポイントになってきます。

さて、今回は、ISMSにおけるある重要な役割についてお伝えします。

トップマネジメントって?

ISMSは、ISO27001という規格に基づいて、情報資産のマネジメントシステムを構築していきますが、構築するにあたっては、「最高位の役職の人が情報資産を適切に管理するため、色々な指示を行っていくこと」が要求されており、これを「トップマネジメント」と呼びます。

要は、「情報資産を管理するために、トップが色々やってください」ということが要求されるわけです。

「トップマネジメント」を担当するのは、会社の社長やISMS取得範囲の事業部長である場合が一般的ですが、やはり多くは社長が担う傾向にあります。

では次に、実際にトップがしなければいけないことについて見ていきます。

トップマネジメントでは何をするの?

ISO27001の要求事項においては、以下のような事項が求められています。

  • 情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にすること
  • 自社のプロセスへのISMS要求事項の統合を確実にすること
  • ISMSに必要な資源が利用可能であることを確実にすること
  • 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達すること
  • ISMSがその意図した成果を達成することを確実にすること
  • ISMSが有効性に貢献するよう人々を指揮し、支援すること
  • 継続的な改善を促進すること
  • その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、その管理層の役割を支援すること

※JISQ27001:2014、P.3、5.1リーダーシップ及びコミットメントより抜粋

上記8つの項目を見ただけで、書いていることの意味がよくわからず自社でISMSを取得するのをあきらめる場合も少なくありません。

私も最初見たときは頭の中に「???」が浮かびました。

それでは、以下、内容を1つずつ確認していきましょう。

1.情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にすること

日本語がよくわからないですが、これは要するに「以下のことを実施しなさい」という要求です。

  • 情報を適切に管理するためのポリシーを作って、公表してください
  • 情報を適切に管理するために、会社として目標を立ててください
  • 作成・公表したポリシーと立てた目標を基に自社で構築したISMSが、会社の事業発展を阻害しないようにしましょう

情報セキュリティ方針を作成・公表し、目標を立てることは、自社内でISMSを構築する第一歩となります。しっかりと押さえておきましょう。

2.自社のプロセスへのISMS要求事項の統合を確実にすること

ここでは、以下のようなことが要求されています。

  • 自分たちが日々行う業務の中に、情報資産を管理する手順を上手く組み込みなさい

日々業務を行う中で発生する情報は、数多く存在します。お客さんや従業員の個人情報、営業に関する情報、会社の財務情報など、これらが社外に漏れたりしたら大変なことになります。

このような重要な情報が漏れないようにするため、情報管理手順を考案して、上手く組み込んでいきましょうということが要求されています。

組み込む際は、業務フローに注意することが重要です。

現在の業務フローが最も良いのであれば、その業務フローを崩さないように注意していかなければならないでしょうから。

3.ISMSに必要な資源が利用可能であることを確実にする

これも日本語がよくわからないですね。

もう少しかみ砕いて説明します。以下のようなことを実施することが重要です。

  • 事業者内でISMSを適切に構築・運用するために必要な人間や物品、お金を確保しておきましょう

マネジメントシステムを構築・運用するとなると、最低限いくらかの経営資源を利用することになりますよね。

当然ですが、そういった資源を確保しなければ、有効なマネジメントシステムであるとは言えませんので、今現在の状況で何をどう使えば効率的なマネジメントシステムを構築・運用できるのかを熟考しましょう。

4.有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する

こちらの項目は、以下のことをやってくださいという要求です。

  • マネジメントシステムを構築・運用することが事業者としてどれだけ重要か、従業者各位が十分に認識するように周知しましょう

情報漏えい事件や事故は毎日のように発生しています。

情報漏えいが発生してしまう原因は多々挙げられますが、「管理する手順等が決められておらず、情報資産が煩雑に取り扱われていた」ということも主要な原因の一つです。

また、情報漏えいが起きてしまうことによって、顧客からの信頼が無くなったり、場合によっては取引停止といった事態に陥る可能性も否めません。

これらのことを発生させないために、情報を適切に管理することの重要性をトップが周知する必要があります。

もちろん、トップ一人だけで周知するとなると大変でしょうから、今回のブログでも挙げた「人員の確保」というところも重要になってきますね。

今回のブログでは、トップマネジメントの8つの項目の内、1~4つを取り上げました。

また次回もトップマネジメントに関する事項を取り上げていきます。

それでは!

このエントリーをはてなブックマークに追加 LINEで送る

2017年9月28日

【徹底解説】ISMSにおけるトップマネジメント【前編】

Posted in 規格解説

こんにちは。

みなさん、万が一情報漏えいが発生してしまった場合の対応手順や体制などは策定しているでしょうか?

情報漏えい事件が発生してしまうと、会社としては大きな損失となります。

その損失を抑えるためには、そもそも情報漏えいを発生させないように注意することはもちろん大事ですが、人間が仕事を行っている以上、どこかでミスは発生してしまうものです。

そのため、万が一情報漏えいが起きてしまった際のことを考え、しっかり対応手順を整備しているかどうかというのも、大事なポイントになってきます。

さて、今回は、ISMSにおけるある重要な役割についてお伝えします。

トップマネジメントって?

ISMSは、ISO27001という規格に基づいて、情報資産のマネジメントシステムを構築していきますが、構築するにあたっては、「最高位の役職の人が情報資産を適切に管理するため、色々な指示を行っていくこと」が要求されており、これを「トップマネジメント」と呼びます。

要は、「情報資産を管理するために、トップが色々やってください」ということが要求されるわけです。

「トップマネジメント」を担当するのは、会社の社長やISMS取得範囲の事業部長である場合が一般的ですが、やはり多くは社長が担う傾向にあります。

では次に、実際にトップがしなければいけないことについて見ていきます。

トップマネジメントでは何をするの?

ISO27001の要求事項においては、以下のような事項が求められています。

  • 情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にすること
  • 自社のプロセスへのISMS要求事項の統合を確実にすること
  • ISMSに必要な資源が利用可能であることを確実にすること
  • 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達すること
  • ISMSがその意図した成果を達成することを確実にすること
  • ISMSが有効性に貢献するよう人々を指揮し、支援すること
  • 継続的な改善を促進すること
  • その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、その管理層の役割を支援すること

※JISQ27001:2014、P.3、5.1リーダーシップ及びコミットメントより抜粋

上記8つの項目を見ただけで、書いていることの意味がよくわからず自社でISMSを取得するのをあきらめる場合も少なくありません。

私も最初見たときは頭の中に「???」が浮かびました。

それでは、以下、内容を1つずつ確認していきましょう。

1.情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にすること

日本語がよくわからないですが、これは要するに「以下のことを実施しなさい」という要求です。

  • 情報を適切に管理するためのポリシーを作って、公表してください
  • 情報を適切に管理するために、会社として目標を立ててください
  • 作成・公表したポリシーと立てた目標を基に自社で構築したISMSが、会社の事業発展を阻害しないようにしましょう

情報セキュリティ方針を作成・公表し、目標を立てることは、自社内でISMSを構築する第一歩となります。しっかりと押さえておきましょう。

2.自社のプロセスへのISMS要求事項の統合を確実にすること

ここでは、以下のようなことが要求されています。

  • 自分たちが日々行う業務の中に、情報資産を管理する手順を上手く組み込みなさい

日々業務を行う中で発生する情報は、数多く存在します。お客さんや従業員の個人情報、営業に関する情報、会社の財務情報など、これらが社外に漏れたりしたら大変なことになります。

このような重要な情報が漏れないようにするため、情報管理手順を考案して、上手く組み込んでいきましょうということが要求されています。

組み込む際は、業務フローに注意することが重要です。

現在の業務フローが最も良いのであれば、その業務フローを崩さないように注意していかなければならないでしょうから。

3.ISMSに必要な資源が利用可能であることを確実にする

これも日本語がよくわからないですね。

もう少しかみ砕いて説明します。以下のようなことを実施することが重要です。

  • 事業者内でISMSを適切に構築・運用するために必要な人間や物品、お金を確保しておきましょう

マネジメントシステムを構築・運用するとなると、最低限いくらかの経営資源を利用することになりますよね。

当然ですが、そういった資源を確保しなければ、有効なマネジメントシステムであるとは言えませんので、今現在の状況で何をどう使えば効率的なマネジメントシステムを構築・運用できるのかを熟考しましょう。

4.有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する

こちらの項目は、以下のことをやってくださいという要求です。

  • マネジメントシステムを構築・運用することが事業者としてどれだけ重要か、従業者各位が十分に認識するように周知しましょう

情報漏えい事件や事故は毎日のように発生しています。

情報漏えいが発生してしまう原因は多々挙げられますが、「管理する手順等が決められておらず、情報資産が煩雑に取り扱われていた」ということも主要な原因の一つです。

また、情報漏えいが起きてしまうことによって、顧客からの信頼が無くなったり、場合によっては取引停止といった事態に陥る可能性も否めません。

これらのことを発生させないために、情報を適切に管理することの重要性をトップが周知する必要があります。

もちろん、トップ一人だけで周知するとなると大変でしょうから、今回のブログでも挙げた「人員の確保」というところも重要になってきますね。

今回のブログでは、トップマネジメントの8つの項目の内、1~4つを取り上げました。

また次回もトップマネジメントに関する事項を取り上げていきます。

それでは!

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする