ISMSサンプル文書のような「ISMS推進体制図」を書くことができる要求事項がISOにあるのか
社内で情報セキュリティへ取り組むため、体制を整えることとなりました。
早速「ISMS-B07-D01 ISMS推進体制図」を活用して案を参考にしていますが、ISOの理解を進めるためにも、要求事項を調べてみました。
参考になるところがありましたが、体制図が書ける内容ではありません。
ISOは様々な会社への導入を想定しているので具体的な要求事項は無いのではと理解していますが、サンプル文書のような体制図書くことができる要求事項がISOにあるのか教えてください。
ご質問のとおり、ISMSでは、具体的な組織体制に関する要求事項はございません。
JISQ27001にて、具体的に名称として読み取れる役割としては、以下になります。
- トップマネジメント(経営陣)
- 管理層(経営陣だけでなくその他の管理者も含む場合)
- 内部監査員
- リスク所有者(これは運用状況により変わるかと思います)v
また、規格から読み取るならば、JISQ27002の「6.1 内部組織」が、より参考になるかと思います。
これを踏まえると、上記に加え、以下も読み取れる役割となります。
- 情報セキュリティ管理者
- 各資産それぞれの管理責任者
- 関係当局との適切な連絡体制(情報セキュリティ事件・事故なども含む)
- 専門組織との連絡(最新情報の入手や専門家からの助言など)
どのような体制にするかは、組織の規模や都合に応じて異なってきます。
少数の組織であれば、異なる役割を少人数で担うことになるでしょうし、大人数の組織であれば、役割を分担するでしょう。
サンプル文書では、組織に関する規定として、「ISMS-B07 情報セキュリティ運営管理規程」の「2 組織」にて記しております。
組織の規模や事情に応じて、どのような体制にするかのご参考にして下さい。
ここでの名称を変更された場合は、他の規程書などの文書で、名称を読み替えください。
また、「ISMS導入前研修」の「Session 5 推進チームの組み方及び役割」がお役に立つかもしれません。
こちらもあわせてご参考ください。