ISMS（ISO27001）における組織体制の作り方について徹底解説！

「ISMSの組織体制ってどうやって作るの？」
「何から考えればいいのかわからない…。」
このような疑問をお持ちの方はいらっしゃいませんか？

実は、ISMS(ISO27001)の組織体制の作り方は、

1. 決裁権があるか
2. 情報システムに詳しいか
3. 各部門の情報資産を把握できるか

の3つがポイントになっていきます。

なぜなら、組織全体で情報セキュリティを効果的に管理・運用する必要があるからです。

ここでは、ISMSにおける組織体制の作り方や必要な役割について解説していきます。
本コラムを読み終えることで、適切な組織体制を作ることができるようになるでしょう。

1.ISMSにおける組織体制の作り方とは

ISMS(ISO27001)の組織体制の作り方は、

1. 決裁権があるか
2. 情報システムに詳しいか
3. 各部門の情報資産を把握できるか

の3つのポイントを中心に見ていく必要があります。

本章では、それぞれの3つのポイントを詳しく解説していきます。

（1） 決裁権があるか

ISMSの組織体制では、情報セキュリティマネジメントシステムを統括する責任者と、その責任者が必要な決裁権限を持っていることが求められます。

組織体制は、トップのリーダーシップのもと、セキュリティポリシーの策定、ISMSの構築・運用・監査を進める仕組みであり、最終的な決裁権を持つ責任者が中心となって運営されます。

また、ISMS（ISO27001）を取得するためには、トップマネジメントのコミットメントを含めた体制づくりが不可欠です。
マネジメントシステムを継続的に実施・維持していく必要があるため、最終的には経営層への報告が求められます。

そのため、決裁権を持つ管理責任者がISMSの担当となるケースが一般的です。

（2） 情報システムに詳しいか

ISMS(ISO27001)の組織体制には、情報システムに詳しい担当者を配置することが不可欠です。

情報セキュリティ担当者などを明確にしておくことで、社内インフラの状況を正しく把握でき、万が一トラブルや事故が発生した際にも、原因の特定や現状把握を迅速に行うことができます。

そのため、情報システムに精通した担当者をあらかじめ決めておくことで、問題発生時の対応がスムーズになり、組織としてのリスク管理能力も向上します。

情報システムに詳しい人材がいることは、ISMS運用において多くのメリットをもたらします。

【メリット】

①インシデント発生時の迅速な初動対応

原因の特定や被害の拡大防止に向けた初動対応を迅速に行えます。

②技術的リスクの的確な特定と評価

情報システム担当者は、ネットワーク構成、サーバー設定、使用しているソフトウェアの脆弱性など、技術的な側面から潜在的なセキュリティリスクを正確に洗い出し、評価できます。

③効率的な運用・監視

日常的な運用・監視業務をスムーズかつ効率的に行うことができます。

情報システムに詳しい人材は、組織全体の情報セキュリティレベルの向上に不可欠な存在と言えます。

（3）各部門の情報資産を把握できるか

各部門の情報資産の洗い出しでは、最初からできるだけ細かく洗い出すことが重要です。

自社の各部門には、どのような情報資産があるかを多角的に洗い出します。

①部署ごとに実施する

担当部署ごとに情報資産は異なるので、担当者にヒアリングを行いましょう。

②ライフサイクル全体を考える

情報の作成、管理、利用、廃棄までの一連の流れを考慮します。

③アナログの情報も考える

デジタルデータだけでなく、紙、USBメモリ、ノートパソコンなども対象になります。

④外部委託先を確認

クラウドサービスや外部に預けているデータも忘れずにリストアップします。

これらを考慮することで、幅広く洗い出すことができるようになることでしょう。

2.組織体制に必要な役割とは？

ISMS(ISO27001)の組織体制を作るためには、最低限必要な役割があります。

それは、管理責任者と内部監査責任者です。

では、管理責任者と内部監査責任者はどのようなことを行うのか。
役割について、説明していきます。

（1）管理責任者の役割

ISMS(ISO27001)における管理責任者は、経営層と現場の橋渡し役として、リスクアセスメントやセキュリティポリシーの推進、ISMSの運用全体を指揮する重要な役割を担います。

管理責任者が担う主な役割は次の3点です。

• リーダーシップ
  リスクアセスメントや管理策を円滑に実行できるよう、組織を主導する。
• 方針策定
  セキュリティポリシーや目標を定め、社内へ周知・浸透させる。
• マネジメントレビュー
  セキュリティ運用状況を定期的に確認し、必要な改善策を検討・実施する。

（2） 内部監査責任者の役割

内部監査責任者は、管理責任者とは別の人物を選任する必要があります。
管理責任者はISMSの運用全体を指揮する立場であるため、自らの運用を客観的に評価することが難しく、監査の公平性を保つために独立した担当者が求められるためです。

内部監査責任者は、監査員の選定後、内部監査の最高責任者として以下を担当します。

• 監査計画の策定
• 監査の実施および結果の報告
• 監査報告書の作成
• 管理責任者への監査結果の報告

これらを通じて、ISMSが適切に運用されているかを客観的に評価し、改善につなげる役割を果たします。
◾️お問い合わせ

3.管理責任者、内部監査責任者がいない場合のリスク

ISMSの組織体制に管理責任者や内部監査責任者が不在の場合、ISMSの目的である「継続的改善」が機能しなくなり、ISO27001の認証取得や維持が困難になるという重大なリスクがあります。

以下では、それぞれがいない場合に生じる具体的なリスクを説明します。

（1） 管理責任者がいない場合のリスク

管理責任者が不在だと、ISMSの運用が適切に行われず、情報セキュリティリスクが大幅に高まります。

具体的には、次のような問題が発生します。

①リスク管理の機能不全

リスクアセスメントの推進、リスクの特定、対策の実施などが滞り、ISMS活動が停滞します。

②情報セキュリティインシデントの増大

リスク管理が機能しないため、重大なセキュリティインシデントが発生する可能性が高まります。

③責任の所在が不明確になる

問題発生時の対応が遅れたり、誰が対応すべきか分からなくなるなど、組織としての対応力が低下します。
情報セキュリティリスクを抑えるためにも、管理責任者の配置は不可欠です。

（2） 内部監査責任者がいない場合のリスク

内部監査責任者が不在だと、ISMSの有効性を客観的に評価・改善する仕組みが弱まり、コンプライアンス違反や情報漏洩のリスクが高まります。

具体的には、次のような問題が発生します。

①ISMSの有効性評価が不十分になる

運用が適切かどうかを客観的に確認できず、問題点が見逃される可能性があります。

②継続的改善が難しくなる

監査を通じて課題を発見できないため、ISMSの質が向上しにくくなります。

③従業員の意識低下

監査が行われないことで、従業員の情報セキュリティ意識やルール遵守の姿勢が弱まる恐れがあります。

内部監査責任者は、ISMSの有効性を客観的に評価し、改善につなげるための重要な役割を担っています。

4.まとめ

ISMSにおける組織体制の作り方について理解できましたか？

1章では、ISMSにおける組織体制の作り方について下記の3つのポイントを解説しました。

1. 決裁権があるか
2. 情報システムに詳しいか
3. 各部門の情報資産を把握できるか

2章では、ISMS(ISO27001)の組織体制を作るために最低限必要な役割である、管理責任者・内部監査責任者について解説していきました

また、3章では、ISMSの目的である「継続的改善」が機能しない、ISO27001の認証取得・維持が困難になるというリスクを踏まえ、管理責任者・内部監査責任者がいない場合のリスクを具体例を用いて解説していきました。

ぜひ、本コラムを読んで、ISMSにおける組織体制の作り方についてお役立てください。