インシデント管理体制の情報セキュリティ推進責任者について
インシデント管理体制の情報セキュリティ推進責任者は、経営層や管理層ではなく、一般の正社員、または顧問契約している外部の人間をアサインできますか。
「情報セキュリティ推進責任者」について、役職者でなければならないという要求事項はないため、社員の方でも良いかと思います。
ただ、当サンプル文書(情報セキュリティ運営管理規程 – 2.2役割及び責任)にて規定している役割及び責任の事項の実施ができるような方を選出されることをお勧めします。
ちなみに、JIS Q 27002:2014の「16.1.1 責任及び手順」のb)項の1)では「組織内の情報セキュリティインシデントに関連する事項は,力量のある要員が取り扱う。」と言われているため、それなりの力量は必要になってくると思われます。
「外部の人間をアサインできるか?」に関してですが、あまりお勧めは致しません。
管理体制は、JIS Q 27001:2014 の「A.6.1.1 情報セキュリティの役割及び責任」の要求事項に関連しており、JIS Q 27002:2014の「6.1.1 情報セキュリティの役割及び責任」の「実施の手引き」では、「情報セキュリティの責任を割り当てられた個人は,情報セキュリティに関する職務を他者に委任してもよい。しかし,責任は依然としてその個人にあり,委任した職務がいずれも正しく実施されていることを,その個人が確認することが望ましい。」と書かれています。
しかし、”職務”としては委任できることができるなっているが、”外部”とはなっていないため、審査の際、指摘される可能性がありますので、ご注意ください。
