サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ISMS構築|「情報セキュリティのリーダーシップ」について



前回のコラムでは、ISMS構築の第一歩として「自社分析の考え方」についてご紹介しました。今回は、第2段階として重要な「情報セキュリティのリーダーシップ」についてお話いたします。

リーダーシップの重要性

ISO27001の要求事項の中で、自社分析の次に来るのが「リーダーシップ」です。情報セキュリティもリスクマネジメントですから、リーダーの行動に効果は左右されます。

ここで注目する項目が、ISO9001の2015年度規格にある下記の一文です。

その他の関連する管理層がその責任の領域においてリーダーシップを発揮するよう、管理層の役割を支援する。

ISO9001/2015年度規格(5.1項)より引用

リーダーシップと言うと、トップマネジメントを思い浮かべるかと思います。実際、この部分もトップマネジメントの責務とも言えるのですが、よくよく見ると、「管理層の役割を支援する」とあります。

トップマネジメント自身ではなく、他の管理層(経営層だけではありません)、つまり中間管理職の人たちも、受け持つ部署で情報セキュリティに関するリーダーシップを発揮しないといけない、と書いてあるのです。トップマネジメントはそれを支援しろ、ということです。

管理層におけるリーダーシップ

特に国内のISOマネジメントシステムにありがちなことなのですが、ISMS等を構築するとなると、「ISO事務局」とか「ISO推進室」とか呼ばれるチームができて、ここが中心になることが多いのです。

ですが、この要求事項を見ると、中心になるのは各「管理層」なのですね。「事務局に聞かないとわから~ん」などと、部課長が気軽に言うようではダメなのです。

あくまで、ISMSの中心になるのは管理層。事務局はその支援をトップマネジメントから依頼されているに過ぎません。事務局や推進室を作らねばならない、という要求事項など無いのです。

セキュリティは“経営の一部”という意識

そもそも、情報セキュリティマネジメントシステムは、それを包括する経営マネジメントシステムの一部分でしかありません。だとしたら、経営マネジメントシステムの中核を成す管理層が主役になるのは当然でしょう。

その為、各管理層がそれぞれリーダーシップを発揮し、トップマネジメントの意思を伝達し、自部署のリスクアセスメント、対応計画・教育などを率先して指揮しなければならないのです。

今一度考えたい「伝達する」の意味

さて、ここで「伝達する」という言葉が出てきました。この用語はちょっと要注意なんですね。日本版のISOマネジメントシステムでは、「伝達する」行為として、社内通達を挙げることがあります。ですが、社内通達を出すだけでは、ISMSで言う「伝達する」を達成したとは言えません。

なぜなら、英語版で「伝達する」は“communicate”だからです。日本語でも普通に“コミュニケーション”と言うように、この言葉は双方向を表します。つまり、相手に伝わったことを確認して初めて「伝達」が完成したことになります。

よく社内で見られる風景ですが、上司が部下に「俺、こうやれって言ったよな~?なんで言われた通りやってないの~?」というのは、部下が理解したことを上司が確認してませんので、ISMS的にはダメなのですね。
「伝達する」ってのは軽くないのです。

まとめ

このように、ISMSにおいて、管理層の役割は重要です。ISMSが効果的に運用されるためには、管理層の意識レベルに左右されると言っても過言ではありません。

トップマネジメントが、しっかりと各管理層に情報セキュリティの重要性を認識させ、しっかりと末端まで意思統一が図れるようにする。情報セキュリティ業務が「特別なこと」ではなく、普段からの通常業務の一つとして認識されていく。

これがISMSのあるべき形なのです。次回は、ISMSを運用している組織も悩みがちな、「情報セキュリティ目的」を解説させていただきます。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。