13-2-3. ISMS:5. リーダーシップ
「5. リーダーシップ」は、PDCAサイクルの「Plan(計画)」に位置しており、トップマネジメントに求められる要求事項を示しています。トップマネジメントとは、ISMSの適用範囲における最高責任者のことを指します。多くの場合、トップマネジメントは、組織の社長が担う傾向にあります。「5. リーダーシップ」は、PDCAサイクルの軸であり、PDCAサイクルを回すには、トップマネジメントのコミットメント(関与、制約)が重要になります。
5. リーダーシップ
作成ドキュメント(例)
5.1 リーダーシップ及びコミットメント
トップマネジメントが責任を持って実行しなければならない事項が記載されています。
ー
5.2 方針
トップマネジメントが、ISMSの目的や方向性、実施する内容について文書化し、「情報セキュリティ方針」を作成することを要求しています。
情報セキュリティ方針
5.3 組織の役割、責任及び権限
トップマネジメントは、ISMSを運用するために必要な役割や責任、権限を各要員に割り当て、どの要員がどのような役割や責任、権限を持っているかが分かる文書を作成することを要求しています。
- ISMSの運用組織図
- 責任者または部門の名称と役割を明記した文書
5.1 リーダーシップ及びコミットメント
「リーダーシップ及びコミットメント」では、ISMSのトップマネジメントが責任を持たなければならないことを要求しています。トップマネジメントは、以下の事項について責任を持って必ず行う必要があります。
トップマネジメントが行う事項(要求事項)
情報セキュリティ方針および情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にする
→ 組織の事業の方向性に沿った情報セキュリティ方針と、情報セキュリティ目的を策定することを要求しています。※情報セキュリティ方針、情報セキュリティ目的については後述します。
組織のプロセスへのISMS要求事項の統合を確実にする
→ 自社の業務に、情報資産を管理する手順を組み込むことを要求しています。
ISMSに必要な資源が利用可能であることを確実にする
→ ISMSを構築・運用するために、必要な予算や人員など経営資源を確保しておくことを要求しています。
有効な情報セキュリティマネジメントおよびISMS要求事項への適合の重要性を伝達する
→ 従業員がISMSを構築・運用し、情報資産を適切に管理することの重要性を十分に認識できるよう、周知することを要求しています。
ISMSがその意図した成果を達成することを確実にする
→ ISMSを構築・運用することで得られる成果を明確にし、その成果を十分に得られるように取組んでいくことを要求しています。
ISMSの有効性に寄与するよう人々を指揮し、支援する
→ ISMSを構築・運用できるようにするため、従業者に対して教育を受けさせたり、定めた決まりを認識・実施させたり、従業員の意見を聞いたりするなど、サポートすることを要求しています。
継続的改善を促進する
→ ISMSを構築・運用するにあたり、従業員が不便に感じていることなど、改善が必要だと考えられる場合には、改善を進めるよう要求しています。
その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する
→ 組織の規模や形態によって、トップマネジメントの指示が従業員に適切に伝わらない可能性があります。そのため、各部門の責任者が主導となり、従業員にトップマネジメントの指示を適切に伝え、ISMSを円滑に構築・運用できるようにすることを要求しています。
5.2 方針
作成するドキュメント
情報セキュリティ方針
トップマネジメントは、組織の情報セキュリティに対する考え方や取組の姿勢を利害関係者に示すため、情報セキュリティ方針を文書として作成し、組織内に周知するとともに、必要に応じて、その他の利害関係者が入手できるようにします。たとえば、保護するべき情報資産と保護すべき理由を明示し、利害関係者に周知します。
情報セキュリティ方針の作成方法
情報セキュリティ方針は、以下の事項を満たす必要があります。しかし、規格の内容をそのまま記載するのではなく、内容を理解した上で組織内部の従業員や、利害関係者にとって分かりやすい方針を作成する必要があります。
情報セキュリティ方針が満たさなければならない事項
a) 組織の目的に対して適切である
b) 情報セキュリティ目的を含むか、または情報セキュリティ目的の設定のための枠組みを示す
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む
d) ISMS の継続的改善へのコミットメントを含む
5.3 組織の役割、責任及び権限
作成するドキュメント
- ISMS運用組織図
- 責任者または部門の名称と役割を明記した文書
「組織の役割、責任および権限」とは、ISMSを構築・運用するために、トップマネジメントが、組織内で役割を決め、責任と権限を割り当てることです。
ある程度の規模以上の組織になると、ISMSの実際の運用担当者や責任者は、トップマネジメントから権限を委譲された人になります。そうすると、情報セキュリティに関する取組の実態を、トップマネジメントが十分把握していないという状況になりがちです。そうならないために、ISMSの実施状況をトップマネジメントに報告する仕組みやルールを作っておく必要があります。
ISMS運用組織図の作成方法(例)
図57. ISMS運用組織図の例
ISMSの運用組織図を作成する流れを説明します。
- 1.トップマネジメントは、情報セキュリティ委員長を任命し、上記の事項に関する権限や責任を持たせる必要があります。そのため、トップマネジメントの下位に、情報セキュリティ委員長を配置します。
- 2.ISMS内部監査責任者は、内部監査を実施する際の最高責任者であり、トップマネジメントの下位に設置します。
- 3.情報セキュリティ委員長は、ISMSの実施・運用のために必要な役割を持つ責任者を任命します。情報セキュリティ委員長の下位に各責任者を配置します。
責任者または部門の名称と役割を明記した文書の作成方法(例)
名称
役割
情報セキュリティ委員長
ISMSの実施、運用について統括する
ISMS内部監査責任者
ISMSとその実施状況に関わる監査を統括する
ISMS教育責任者
ISMSに関する教育計画の立案と実施を行う
部門管理者(情報セキュリティ委員)
ISMSの部門代表者として、部門を管理する
情報システム管理者
情報システム部門の管理者で、情報システム管理に関する規程・規則に従い、ISMSを維持するための安全管理対策を実施する
ISMS文書管理責任者
ISMSに関する文書と記録などの維持・管理を行う