前回のコラムでは、ISMS構築の第一歩として「自社分析の考え方」についてご紹介しました。

今回は、第2段階として重要な「情報セキュリティのリーダーシップ」についてお話いたします。

リーダーシップの重要性

ISO27001の要求事項の中で、自社分析の次に来るのが「リーダーシップ」です。
情報セキュリティもリスクマネジメントですから、リーダーの行動に効果は左右されます。

ここで注目する項目が、ISO9001の2015年度規格にある下記の一文です。

その他の関連する管理層がその責任の領域においてリーダーシップを発揮するよう、管理層の役割を支援する。

ISO9001/2015年度規格(5.1項)より引用

リーダーシップと言うと、トップマネジメントを思い浮かべるかと思います。
実際、この部分もトップマネジメントの責務とも言えるのですが、よくよく見ると、「管理層の役割を支援する」とあります。

トップマネジメント自身ではなく、他の管理層(経営層だけではありません)、つまり中間管理職の人たちも、受け持つ部署で情報セキュリティに関するリーダーシップを発揮しないといけない、と書いてあるのです。
トップマネジメントはそれを支援しろ、ということです。

管理層におけるリーダーシップ

特に国内のISOマネジメントシステムにありがちなことなのですが、ISMS等を構築するとなると、「ISO事務局」とか「ISO推進室」とか呼ばれるチームができて、ここが中心になることが多いのです。

ですが、この要求事項を見ると、中心になるのは各「管理層」なのですね。
「事務局に聞かないとわから~ん」などと、部課長が気軽に言うようではダメなのです。

あくまで、ISMSの中心になるのは管理層。
事務局はその支援をトップマネジメントから依頼されているに過ぎません。
事務局や推進室を作らねばならない、という要求事項など無いのです。

セキュリティは“経営の一部”という意識

そもそも、情報セキュリティマネジメントシステムは、それを包括する経営マネジメントシステムの一部分でしかありません。
だとしたら、経営マネジメントシステムの中核を成す管理層が主役になるのは当然でしょう。

その為、各管理層がそれぞれリーダーシップを発揮し、トップマネジメントの意思を伝達し、自部署のリスクアセスメント、対応計画・教育などを率先して指揮しなければならないのです。

今一度考えたい「伝達する」の意味

さて、ここで「伝達する」という言葉が出てきました。
この用語はちょっと要注意なんですね。

日本版のISOマネジメントシステムでは、「伝達する」行為として、社内通達を挙げることがあります。
ですが、社内通達を出すだけでは、ISMSで言う「伝達する」を達成したとは言えません。

なぜなら、英語版で「伝達する」は“communicate”だからです。
日本語でも普通に“コミュニケーション”と言うように、この言葉は双方向を表します。
つまり、相手に伝わったことを確認して初めて「伝達」が完成したことになります。

よく社内で見られる風景ですが、上司が部下に「俺、こうやれって言ったよな~?なんで言われた通りやってないの~?」というのは、部下が理解したことを上司が確認してませんので、ISMS的にはダメなのですね。
「伝達する」ってのは軽くないのです。

まとめ

このように、ISMSにおいて、管理層の役割は重要です。
ISMSが効果的に運用されるためには、管理層の意識レベルに左右されると言っても過言ではありません。

トップマネジメントが、しっかりと各管理層に情報セキュリティの重要性を認識させ、しっかりと末端まで意思統一が図れるようにする。
情報セキュリティ業務が「特別なこと」ではなく、普段からの通常業務の一つとして認識されていく。
これがISMSのあるべき形なのです。
次回は、ISMSを運用している組織も悩みがちな、「情報セキュリティ目的」を解説させていただきます。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?