ISO27001(ISMS)のトップマネジメントとは。
2023年2月1日
ISO9001(品質マネジメントシステム)や14001(環境マネジメントシステム)等では、トップマネジメントの責任としての様々な規格要求事項が求められており、ISO27001(ISMS=情報セキュリティの仕組み)についても同様です。
会社で情報漏洩が発生した場合、その影響が大きく、取返しがつかない状態にまで追い込まれてしまう恐れがありますね。
しかし、たとえ情報漏洩が発生しても、事前に対策を講じ、対応手順を整備していれば損失を軽減することもできます。
そこで重要になるのが、トップマネジメントです。
今回は、ISO27001(ISMS)のトップマネジメントについて解説していきますね。
お気軽に今すぐご連絡ください!
ISOの認証取得・更新・スリム化の支援はお任せ下さい!
トップマネジメントって何?
トップマネジメントとは、ISO27001(ISMS)における規格に基づき、方針や目標などの策定や調整、統制などを行う組織内での最高位とする個人もしくはグループを指します。
一般的には、会社の社長や会長などといった経営者がトップマネジメントということになりますね。
中には、全役員の経営陣といったとして活動している企業もあります。
ISO27001(ISMS)において、情報資産のマネジメントシステムを構築していくには、最高位であるトップマネジメントが、マネジメントシステムに関するリーダーシップを発揮し、コミットメントを実証していく必要があります。
コミットメントは、簡単に言うと宣言、宣誓、約束するというような意味です。
つまり企業は、トップマネジメントがマネジメントシステム活動を牽引しながら関与し続けている状態を、証拠を持って示すようにしておくことが求められているんですね。
ISO27001(ISMS)の審査では規格要求を満たしていることの証明が必要
ISO27001(ISMS)を取得するためには、2段階での第三者審査を受けて合格することが必要です。
トップマネジメントとして審査を受けられるのは、あくまでも会社の経営陣であり、リーダーシップとコミットメントの実現について適格に応え、規格要求を満たしていると証明する必要があるのです。
また、会社全体ではなく、○○部などのように部門単位でISO27001(ISMS)を取得する場合には、○○部の部長がトップマネジメントになることもあります。
審査機関の審査員が、会社内でISO27001(ISMS)規格要求事項に基づく仕組やルールが構築され、さらにその仕組やルール通りに運用している判断されれば、認証が発行されることになります。
ISO27001(ISMS)を取得できても、自社の実情を無視した仕組みを構築してしまっては意味がないですよね。
結構そういう事例があることも耳にしますが、これは、本来業務との二重管理になって、審査前に慌てて余分な資料を作る、なんてことになりかねません。
このようなリスクを避けるために、ISO27001(ISMS)の取得をサポートする弊社のような、「本来業務に沿ってISO27001(ISMS)の仕組を構築できる」、外部コンサルタントに依頼する企業が増えています。
トップマネジメントに求められる要求事項とは?
ISO27001(ISMS)取得に向け、自社に最適なマネジメントシステムを構築するために、トップマネジメントに求められることは何なのでしょうか。
ここでは、トップマネジメントに求められる要求事項についてご紹介していきましょう。
5.1項 経営陣のコミットメント では、経営陣自身が以下を実行し、証拠を残す約束をすることを求めています。
a)ISMSの基本方針を作る
b)ISMSの目的や計画を作る
c)組織体制の構築(役割や責任権限)
d)以下を組織内に伝えて認識させる
- 情報セキュリティ目的を満たすことの重要性
- 情報セキュリティ基本方針に適合することの重要性
- 法のもとでの責任
- 継続的改善の必要性
e)ISMSが機能するための経営資源(人、モノ、資金、情報等)を用意して提供する
f)セキュリティリスクの許容基準やレベルを決める
g)ISMSがシステム通りに運用され、機能しているかの内部監査を実施させる
h)ISMSが適切で有効に機能しているかの結果、成果を報告させ、決定及び指示をする
以上をご覧いただけるとおわかりのように、「ISO27001をとるから部下に全部任せよう」ということにはならないようです。
上記は、第三者審査で経営陣に直接ヒアリングされる事項でもありますので、経営陣としてISMSにしっかり関与して、結果を把握しておく必要があるということになりますね。
最後までご覧いただき、ありがとうございます。
ISO27001(ISMS)のトップマネジメントとは何か。お分かりいただけたでしょうか。
経営陣が関与をしたくないために、部下に全部を任せてしまうと、情報セキュリティの仕組を構築、運用してしまうと、本来リーダーシップをとるべき経営陣の関与が希薄になってしまい、形だけのもの、経営に役立っていかないものになってしまうかもしれません。
当社では経験が豊富で、あなたの会社の経営に役立つ、そして規模、業態、実情にマッチした、わかりやすくて使い安い、スリムなISO27001(ISMS)のシステム作りを行うことをお約束します。
ご興味のある方は今すぐこちらまでご相談を!
フリーダイヤル 0120-549-330