2021年12月20日
ISMS(ISO27001)認証取得・運用にあたって、重要になるのが組織体制です。
ISMS(ISO27001)の組織体制の作り方として、①決裁権があるか、②情報システムに詳しいか、③各部門の情報資産を把握できるかがポイントとなってきます。
1.ISMS(ISO27001)の組織体制とは?
ISMS(ISO27001)の組織体制は組織によって変わり、各企業により様々です。
但し、その中でも決めておく必要がある役割があるのでそれについてご紹介していきます。
最低限で必要な役割としては管理責任者、内部監査責任者のみです。
企業規模により事務局や委員会やプロジェクトチームなどが出てくるかもしれませんが、最低限必要なのはこの2つです。
それぞれがどういう役割かご説明します。
管理責任者:
組織へISMSを推進するために各役割の責任者を任命し、運用に関する権限と責任を持っています。
例えばリスク対策の指示や教育の指導、漏洩等の事故後の指示等がこれに該当します。
監査責任者:
内部監査を実施するうえでの最高責任者で、監査のチェックリストを作成指示をしたり、監査の方向性を決めたりします。
管理責任者と同じ方がつくことはできません。
2.ISMS(27001)組織体制の作り方3つのポイント
(1)決裁権があるか
マネジメントシステムを実行して維持していくことが必要なので、最終的には経営者に報告することが求められています。
従って、決済権をもっている管理責任者が担当になることが多いです。
(2)情報システムに詳しいか
情報システムに関して情報セキュリティ担当者などを決めておくと、社内インフラがどうなっているのか、事故などが起きた時も何が悪かったのか現状把握ができます。
そのため、担当者を決めておくと迅速な対応ができます。
(3)各部門の情報資産を把握できるか
日々社会環境は変わっていき、お客様から求められるものも変わってくるのと同様に社内の環境もそれに合わせて変化してきます。そういう時に資産も変動してくるため現状把握が必要となります。
従って、その資産を把握できるような各部署に担当者をおき、変化があったかどうかを確認できるような体制を整えておく必要があります。
組織体制は組織によって変わり、各企業により様々です。
組織体制の作り方に不安や疑問点のある方は是非お気軽にご相談ください。
3.ISMS(ISO27001)を取得する場合
(1)全社取得
全社での組織体制を作る。
全社で取得する際のトップは社長となります。
組織によっては社長が現場に関わるセキュリティマネジメントを細かく行うのは難しいこともあります。
そのため、管理責任者を決定し、権限を委任することが多いです。
また、会社規模にもよりますが各責任者を決めていく必要があります。
全社で取得する場合には適用範囲を全社にすることから、各部署の協力が必要となってきます。
その中でどういうルールで運用しているのか、どういう情報資産が必要なのかを現状把握する体制が必要になってきます。
必須 :管理責任者、内部監査責任者
要検討:情報セキュリティ担当者、各支社(支店、支所)責任者、各部門担当者
(2)部門取得
部門だけでの組織体制を作る。
部門だけで取得する際は部門長がトップとなります。
組織全体で取得するとき同様、現場に関わるセキュリティマネジメントまで管理が難しい場合は、管理責任者を置くことが多いです。
また部署単位になると人数が少なくなる可能性が高くなるため、必要最小限で取り組みをした方が動きやすくなるでしょう。
ただし、ここでも役割を決めておくとさらに社内の動きが早くなるので、部署単位になったとしても役割を決めておきましょう。
必須 :管理責任者、内部監査責任者
要検討:特になし
まとめ
ISMS(ISO27001)組織体制で、最低限で必要な役割としては管理責任者、内部監査責任者のみです。
その他、ISMS(ISO27001)組織体制の作り方を3つのポイントにまとめると
①決裁権があるか、②情報システムに詳しいか、③各部門の情報資産を把握できるか、となります。
役割を決めて体制を整えておくことで、ISMS(ISO27001)を効率よく運用していけます。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ