ISMSサンプル文書のような「ISMS推進体制図」を書くことができる要求事項がISOにあるのか
社内で情報セキュリティへ取り組むため、体制を整えることとなりました。
早速「ISMS-B07-D01 ISMS推進体制図」を活用して案を参考にしていますが、ISOの理解を進めるためにも、要求事項を調べてみました。
参考になるところがありましたが、体制図が書ける内容ではありません。
ISOは様々な会社への導入を想定しているので具体的な要求事項は無いのではと理解していますが、サンプル文書のような体制図書くことができる要求事項がISOにあるのか教えてください。
ご質問のとおり、ISMSでは、具体的な組織体制に関する要求事項はございません。
ちなみに、ISO/IEC 27001(JIS Q 27001)規格要求事項から具体的に名称として読み取れる役割としては、以下になります。
- トップマネジメント(経営陣)
- 管理層(経営陣だけでなくその他の管理者も含む場合)
- 内部監査員
- リスク所有者(これは運用状況により変わるかと思います)
5 リーダーシップ
トップマネジメントは,…
- h) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を支援する。
6.1.3 情報セキュリティリスク対応
- f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について, リスク所有者の承認を得る。
9.2.2 内部監査プログラム
- b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
※「JIS Q 27001:2023」より
また、規格から読み取るならば、JIS Q 27002:2024の「5.2 情報セキュリティの役割及び責任」および「5.5 関係当局との連絡」、「5.6 専門組織との連絡」が、より参考になるかと思います。
これを踏まえると、上記に加え、以下も読み取れる役割となります。
- 情報セキュリティ管理者
- 各資産それぞれの管理責任者
- 関係当局との適切な連絡体制(情報セキュリティ事件・事故なども含む)
- 専門組織との連絡(最新情報の入手や専門家からの助言など)
5.2 情報セキュリティの役割及び責任
その他の情報
多くの組織では,情報セキュリティの開発及び実施に対して全般的な責任をもち,リスク及びリスクを低減する管理策の特定を支援する,一人の情報セキュリティ管理者を任命する。
しかし,管理策のために資源を確保し,実施する責任は,多くの場合,個々の管理者にある。各資産にそれぞれ一人の管理責任者を任命し,その者が日々のセキュリティ保護に責任をもつことが一つの一般的な実践方法である。5.5 関係当局との連絡
その他の情報
攻撃を受けている組織は,関係当局に,攻撃元に対して対応をとることを求める場合もある。
このような連絡体制を維持することは,情報セキュリティインシデント管理,又は緊急時対応計画及び事業継続プロセスを支援するために必要な場合がある。5.6 専門組織との連絡
管理策
組織は,情報セキュリティに関する研究会又は会議,及び情報セキュリティの専門家による協会・団体との連絡体制を確立し,維持することが望ましい。
※「JIS Q 27002:2024」より
サンプル文書集では、これらの役割をまとめる意図も含め「ISMS推進体制図」を作成しております。
また、詳細に関しては、組織に関する規定として「 情報セキュリティ運営管理規程」に記しております。
実際、どのような体制にするかは、組織の規模や都合に応じて異なってきます。
少数の組織であれば、異なる役割を少人数で担うことになるでしょうし、大人数の組織であれば、役割を分担するでしょう。
どのような体制にするかは、組織の規模や事情に応じて、「ISMS推進体制」及び「情報セキュリティ運営管理規程」を参考に各名称や詳細な役割をご変更ください。
なお、名称を変更された場合は、他の規程書などの文書においても、名称を忘れずに変更してください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
