前回のコラムでは、ISMS構築の第一歩として「自社分析の考え方」についてご紹介しました。今回は、第2段階として重要な「情報セキュリティのリーダーシップ」についてお話いたします。
リーダーシップの重要性
ISO27001の要求事項の中で、自社分析の次に来るのが「リーダーシップ」です。情報セキュリティもリスクマネジメントですから、リーダーの行動に効果は左右されます。
ここで注目する項目が、ISO9001の2015年度規格にある下記の一文です。
その他の関連する管理層がその責任の領域においてリーダーシップを発揮するよう、管理層の役割を支援する。
ISO9001/2015年度規格(5.1項)より引用
リーダーシップと言うと、トップマネジメントを思い浮かべるかと思います。実際、この部分もトップマネジメントの責務とも言えるのですが、よくよく見ると、「管理層の役割を支援する」とあります。
トップマネジメント自身ではなく、他の管理層(経営層だけではありません)、つまり中間管理職の人たちも、受け持つ部署で情報セキュリティに関するリーダーシップを発揮しないといけない、と書いてあるのです。トップマネジメントはそれを支援しろ、ということです。
管理層におけるリーダーシップ
特に国内のISOマネジメントシステムにありがちなことなのですが、ISMS等を構築するとなると、「ISO事務局」とか「ISO推進室」とか呼ばれるチームができて、ここが中心になることが多いのです。
ですが、この要求事項を見ると、中心になるのは各「管理層」なのですね。「事務局に聞かないとわから~ん」などと、部課長が気軽に言うようではダメなのです。
あくまで、ISMSの中心になるのは管理層。事務局はその支援をトップマネジメントから依頼されているに過ぎません。事務局や推進室を作らねばならない、という要求事項など無いのです。
セキュリティは“経営の一部”という意識
そもそも、情報セキュリティマネジメントシステムは、それを包括する経営マネジメントシステムの一部分でしかありません。だとしたら、経営マネジメントシステムの中核を成す管理層が主役になるのは当然でしょう。
その為、各管理層がそれぞれリーダーシップを発揮し、トップマネジメントの意思を伝達し、自部署のリスクアセスメント、対応計画・教育などを率先して指揮しなければならないのです。
今一度考えたい「伝達する」の意味
さて、ここで「伝達する」という言葉が出てきました。この用語はちょっと要注意なんですね。日本版のISOマネジメントシステムでは、「伝達する」行為として、社内通達を挙げることがあります。ですが、社内通達を出すだけでは、ISMSで言う「伝達する」を達成したとは言えません。
なぜなら、英語版で「伝達する」は“communicate”だからです。日本語でも普通に“コミュニケーション”と言うように、この言葉は双方向を表します。つまり、相手に伝わったことを確認して初めて「伝達」が完成したことになります。
よく社内で見られる風景ですが、上司が部下に「俺、こうやれって言ったよな~?なんで言われた通りやってないの~?」というのは、部下が理解したことを上司が確認してませんので、ISMS的にはダメなのですね。
「伝達する」ってのは軽くないのです。
まとめ
このように、ISMSにおいて、管理層の役割は重要です。ISMSが効果的に運用されるためには、管理層の意識レベルに左右されると言っても過言ではありません。
トップマネジメントが、しっかりと各管理層に情報セキュリティの重要性を認識させ、しっかりと末端まで意思統一が図れるようにする。情報セキュリティ業務が「特別なこと」ではなく、普段からの通常業務の一つとして認識されていく。
これがISMSのあるべき形なのです。次回は、ISMSを運用している組織も悩みがちな、「情報セキュリティ目的」を解説させていただきます。