2021年11月18日
ISMS(ISO27001)の情報セキュリティにおけるリスク所有者とは誰のことでしょうか?
ISMS(ISO27001)におけるリスク所有者とは、リスクの管理と説明の責任がある人(または組織)を意味します。
どんな人がISMS(ISO27001)のリスク所有者にふさわしいか解説していきます。
1.ISMS(ISO27001)のリスク所有者とは
ISO27001:2013には手引のための用語集としてISO27000というものが存在しています。
ISO27001に登場する言葉を解説する辞書のようなものですが、その中では
「リスク所有者」とは「リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体」
「リスク」とは、同じISO27000内で 「目的に対する不確かさの影響」
と記載されています。
主体は意思に基づいて行動を起こすものを指しますので、通常は個人単位ですが、会社組織の場合は部署やチームなども含まれると考えられます。
アカウンタビリティは英単語上の意味として説明責任や義務を表します。
つまりリスク所有者とは、
ある目的に対する不確かさへの影響を管理・運用するにあたって、その管理や運用方法の説明責任を負う人(または組織)
となります。
2.要求事項ではどう定義されているのか?
では、ISO27001:2013の中にはリスク所有者について記載されているのでしょうか。
以下の2箇所にリスク所有者についての記載があります。
①6.1.2 情報セキュリティリスクアセスメント
②A.8.1.2 資産の管理
①6.1.2 情報セキュリティリスクアセスメントでは、 「リスク所有者を定めておかなければならない」とされています。
②A.8.1.2 資産の管理では、 「情報セキュリティのリスクを運用管理することについて、責任及び権限をもつ人又は主体をリスク所有者としている。情報セキュリティにおいて、多くの場合,資産の管理責任を負う者は,リスク所有者でもある」 という記載があります。
Aというのは規格本文に対して附属書や管理策と呼ばれています。
これは、情報を守る方法として、業務に当てはまるものがあれば、対策を行いましょうというものです。
ISMSを運用する上ではこの管理策も考慮しましょう。
3.どんな人がリスク所有者にふさわしいの?
リスクは、単なる危険性や危ないことではなく「目的に対する不確かさの影響」です。
この影響は目的に対して好ましい影響も、好ましくない影響も含まれます。
全てに好ましい影響が潜在的にあれば良いのですが、実際は好ましくない影響が含まれていることが多いでしょう。
リスク所有者は、その好ましくない影響が実際に発生した際に責任を負う立場にあります
つまり、どのような人がリスク所有者にふさわしいかと言えば、
好ましくない影響が発生した際に責任をとれる方、役職者や責任者の立場にある方となります。
しかし、その資産によってリスクの性質や管理方法、リスクに対しての対策は異なるため、単に役職者や責任者が望ましいというわけではありません。
4.全部のリスク所有者を社長にしてもいいの?
役職者や責任者というと、一番最初に想定されるのは社長かもしれません。
代表ですから、その会社の責任を代表して負う必要がもちろん出てきます。
しかしながら、資産によってそのリスクの性質や管理方法は異なってきます。
例えば、取引先と交換した名刺で考えてみましょう。
取引先との名刺は会社に保管される、名刺入れに保管し持ち歩く、スマートフォンのアプリにデータとして管理するなどあるかも知れません。
その名刺を紛失してしまった場合、誰が責任をとる必要があるでしょうか?
この場合、社長よりもまずは名刺管理をしている当人の責任となることが予想されます。
最終責任はもちろん社長にありますが、資産管理を行っている当事者として責任を負う必要があるのは名刺を受け取った本人が対策を怠っていたため、となります。
もうひとつ事例を考えるとすると、例えば履歴書などを紛失したとなると人事部内での管理対策が不足していたなどの可能性があります。
この場合はリスク所有者を採用担当者にする、もしくは人事部長とするなど、その資産に合った選定を行う必要があります。
まとめ
ISMS(ISO27001)のリスク所有者とは、リスクの管理と説明の責任がある人(または組織)を意味します。
社長だけをリスク所有者とするのではなく、それぞれの資産を鑑みて責任者は誰であるのかを選定しましょう。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
のコンサルって何をやってくれるの?-480x270.png)
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ