お役立ち情報 ISMS認証取得に必要なセキュリティ体制とは
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)を指し、「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること」です。
ISMSは、ISO27001という情報セキュリティ規格に則り構築し、審査機関から適合性を認められることでISMS/ISO27001認証を取得することができます。
ISO27001に則ってISMSを構築する際には、社内のセキュリティルール策定はもちろんですが、効率的に運用していくための「体制」を整える(役割の決定)必要があります。
ISMS取得に必要な体制とは
ISMS認証を取得する際には、次の3つの役割を決めることが必須事項となっています。
- トップマネジメント
- 情報セキュリティ管理者
- 内部監査員
それぞれの役割における目的と、どのような人が選出されるのが望ましいかを見ていきましょう。
トップマネジメント
| 主な役割 | 企業における情報の取り扱いなど、最終的な判断をする |
|---|---|
| 適任者 | 組織(認証範囲内)の代表者が一般的 |
- 情報セキュリティ管理最高責任者と呼ばれることもある
- ISMS認証運用のために十分な予算や時間を割り当てることも要求される
- 情報セキュリティの取り組み全体を統括したり、従業員へISMSの説明を行うなどISMS活動が円滑に行われるように支援したりする
情報セキュリティ管理者
| 主な役割 | 企業の情報セキュリティ活動を統括し、責任を負う |
|---|---|
| 適任者 | 現場と経営陣の橋渡しができる人 |
- ISMS管理者と呼ばれることもある
- 具体的には以下のようなことを行う
- 情報セキュリティ方針の修正や見直し
- 情報セキュリティ目標の決定
- ISMSの進捗管理
- ISMSに関する取り組みを従業員に指導・教育
- 監査の計画をたてる
- ISMSがきちんと機能しているか分析・評価をする
- トップマネジメントに対してISMSの取り組みや審査での評価などを報告する
- インシデントが起きた際のフローを決める
- 災害やシステム障害が起きた際のフローを決める
- 開発委託先や外部事業者のセキュリティレベルの調査
内部監査員
| 主な役割 | ISMSが適切に機能しているかどうかを第三者の立場から判断する |
|---|---|
| 適任者 | 規格の要求事項を理解している人 内部監査に関する知識を持っている人 監査対象の業務を理解している人 |
- 複数人で構成される場合は、監査責任者と内部監査員を分けて選出する場合もある
- 独立した視点を持って監査する必要があるので、コンサルタントなど社外の人間が担う場合もある
内部監査員については、第三者からの厳正な確認をしてもらうためや、審査を想定した緊張感を持たせるために「外部の専門家に依頼する」という企業も多いです。LRM株式会社には、審査員資格を有する者も含めて、20名以上のコンサルタントが所属しており、ISMS/ISO27001新規取得のご支援をする際は、コンサルタントがプロの目線から内部監査を実施いたします。
実効性のあるISMS体制の構築をご検討されている方はぜひご相談ください。
また、会社規模や従業員規模により様々ですが、効率的にISMSを運用するために選出される役割として例えば以下の2つが挙げられます。
情報セキュリティ担当者
| 主な役割 | 情報セキュリティ管理者のもとで、現場にISMSを浸透させるための役割を担う |
|---|---|
| 適任者 | 現場のことをよく知っている人 |
- 情報セキュリティ管理者のサポートをする
- 情報セキュリティ管理者と情報セキュリティ担当者をあわせて、ISMS事務局と呼ぶことがある
- 各現場部門から1人以上選出する場合もある(要求事項の一つでもある、情報セキュリティリスクの洗い出しを対応する際に、実際に現場で取り扱っている情報資産についての知識が求められるため)
- 情報セキュリティ担当者をISMSの運用管理業務の担当者と運用実務担当者で分ける場合もある
- ISMS事務局の対応事項としては、例えば以下が含まれる
- ISMS委員会メンバーの選定
- ISMS推進計画の作成
- ISMSの運用・維持
- 認証機関への申請手続き
システム管理者
| 主な役割 | 社内システムの情報セキュリティに対して責任を負う |
|---|---|
| 適任者 | 社内システムに精通している人 (一般的には情報システム部から選出される場合が多い) |
- システム管理者の対応事項として例えば以下が含まれる
- PCやサーバなどの装置や配線をどうするか決定
- アクセス制御方針の決定
- アカウントやアクセス権の管理
- 利用ソフトウェア・Webサービスの管理
- 社内ネットワークの管理
- システム運用の手順書の作成
- PCやモバイル端末の機器管理
- 技術的脆弱性の管理
- ファイルサーバなどの容量や能力の管理
- ログ習得及び監視
- バックアップ方針の作成
一般従業員にもISMSへの理解が求められる
前述したようなISMS上の役職を担当しない一般従業員であっても、情報セキュリティ方針への理解やISMSの有効性への自らの貢献、ISMS要求事項に適合しないことの意味を認識することが求められます。役職がなければ関係ないという訳ではなく、情報セキュリティはすべての従業員が意識し行動する必要があります。
また、情報セキュリティ管理者は一般従業員がISMSにおいて求められている力量があると示すために、「教育」を行い、文書等で力量の証拠を残す必要があります。教育は教育担当者などを別途設けて実施しても問題はありません。
しかし、教育内容や記録が不十分だと、従業員に十分な力量があると認められず、せっかく認証取得のために進めてきた取り組みが無意味なものになってしまう可能性があります。担当者が不明瞭で教材作成や研修準備がうまくできない、不必要に時間や工数がかかってしまうという事態を避けるために、教育体制についても検討しておくことが望まれます。
効果的な体制づくりのポイント
情報セキュリティを守る体制を作る上で重要なことは、認証を取得することではなく、きちんと情報セキュリティが機能することです。認証取得自体が目標にならないように、下記の点を意識するとより良い体制構築が望めます。
- ISMS運用の中心メンバーの中に役員を含め、ISMSを有効的に活用していこうと社員全員に繰り返し伝える
- 各部門にセキュリティ担当者を立てて、四半期に一度ISMS会議を開きながらそのタイミングごとに台帳の見直しもする
- 管理者含む従業員がISMSはPDCAを回すマネジメントシステムだときちんと捉えている
- 取り組まないといけない課題や利害関係者から求められていることをきちんと考える
- IT知識の有無にかかわらず、情報セキュリティ管理者がきちんと社内調整ができる人物である
上記のような要素を満たしている組織は、より強固なマネジメントシステムを築けていると現場が実感されているケースが多いです。
まとめ
ISMS体制を整えることは、認証取得までの準備や運用を効率的に進めるためにも大事な取り組みです。今回は、ISMSにおける必須の役割とその他一般的に選出される役割の例を見てきました。
効果的な体制は、会社の規模やISMSにどれだけ時間やリソースを割けるかによって一概には言えません。しかし大切なのは、各々の役割の重要性や求められる能力を理解した上で、組織全体でISMSを構築・運用していこうという考えのもと情報セキュリティに取り組んでいくことです。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ体制整備にお悩みの方は、お気軽にご相談ください。