外部顧問契約者に「情報セキュリティ推進責任者」をアサインできるか?
外部顧問契約者に、ISMS適用範囲の事業におけるマネージャー業務を委託しております。
具体的には課の運営管理やOffice365などの外部サービス管理者、社員採用業務、マーケティングなどです。
このような場合の外部顧問契約者に、「情報セキュリティ推進責任者」をアサインできるのでしょうか?
委任した職務がいずれも正しく実施されていることを具体的な確認方法としては、委任内容が明記された定義書もしくは契約書、レポートや成果物の定義、セキュリティ要求などのようなドキュメントを想定していますが認識に相違はありませんでしょうか。
他にも必須となるようなドキュメントがあればご指摘いただけますでしょうか。
また、そもそもこのような体制下でのISMS取得は現実的でしょうか。新たに正社員からマネージャーを登用した方が望ましいでしょうか。
委任した場合の確認方法に関しては、ご質問の内のご指摘のとおりで問題ないかと思います。
「そもそもこのような体制下でのISMS取得は現実的でしょうか。」に関してですが、問題ないかと思います。
体制としては、最低2名(自身の内部監査ができないため)いれば、規格要求事項上は取得できますので、新たに正社員からマネージャーを登用する必要はないかと思います。
ご質問の内容から察すると、外部顧問契約者の方は、既に組織のマネージャーとしての役割を担ってもらっていると思われます。同時に、組織としての責任も担われているというのであれば、情報管理に関する契約等に注意の上、「情報セキュリティ推進責任者」を委任されても問題ないかと思います。
ポイントは丸投げではなく、必ず監視監督する責任者を社内に置くことです。
例えば、「情報セキュリティ推進責任者」を外部者に委任している例とは異なりますが、社内に責任者を置き、内部監査の実施、教育の講師、社内インフラ(IT系)、法規制などを社外の専門家に依頼しているケースはあります。
審査の状況にもよりますが、「情報セキュリティ推進責任者」を外部の人に委任することで指摘をされる場合も想定し、「情報セキュリティ推進責任者」は社内から任命または兼務し、その配下に「仮名:情報セキュリティマネージャー」を設け外部顧問契約者を任命(委託)される方法もご検討ください。
ご不安な場合は、一度、審査機関にご相談されても良いかと思います。
