ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です) 株式会社JMCリスクマネジメント 浦名 祐輔 太田 智明 http://rm.jmc.ne.jp/service/iso27001/27column02.html<ISO27001新米担当者のつぶやき>■全社を対象にISO27001取得が決まる 先日検討したISMSの認証範囲については、再度部長と話し合いの時間を設けることになりました。そこで全社認証のメリットとデメリット、部分認証のメリットとデメリットを検討しながら議論をしました。 会社としての考え方は、「せっかくやるなら、全社で一気に取得してしまおう。」ということでした。そして、全社での認証取得に向けて、いよいよ作業に取り掛かることになりました。■認証範囲の次はメンバーを決める 今日は作業に着手するにあたり、どのようなメンバーで作業を進めるのかを考えています。ISO27001の取得作業は僕一人でどこまでできるものなのか、他のメンバーが必要なのか見当がつかないのが現状です。作業ボリュームがはっきり分からないのが問題です。 思い切って部長に相談したのですが、案の定、「作業ボリュームが分からない作業に人は割けない。」と一蹴されてしまいました。 インターネットで調べる限り、どうやら情報資産の棚卸しやマニュアルの作成、従業員への教育といった作業が発生するようです。その程度の作業なら自分一人でできるかなと思ったりもしますが、仲間がいた方が気が楽だし、話し合いながら進められるので効果的だと思います。でもそれだけの理由だと部長を納得させるだけの説得力がないのは明らかです。「さて困った。」■全部門で取得に向けた作業あり そこでこの前、認証範囲で相談に乗ってもらったAさんに再度聞いてみることにしました。そうしたら、Aさんの経験によると、各部門から一人ずつ担当者を出してもらい、一時的に携わった人を含めると10名を超える規模で取得作業を進めたそうです。どうやら、情報資産の棚卸し作業とリスク分析は全社を挙げての作業になるため、各部門に作業を実施させる方法を採用したそうです。しかも、ISO27001の内部監査という作業をする担当者も置かないとダメらしいのです。「そんなこと知らなかった。Aさんに聞いてよかった。」 どうやらISMSの構築は、自分が想像している以上に大掛かりな作業になりそうです。 これから、Aさんに聞いた情報をもとに必要なメンバーと役割をまとめて、作業を進める体制について部長と相談しようと思います。 こんなことを考えているうちに、今日の就業時間は終わってしまいました。<ISO27001コンサルタントからのアドバイス>■基本的なプロジェクトメンバーの構成 こんにちは、ISO27001コンサルタントの山田太一です。今回、磯さんは作業メンバーについて悩んでいるようですね。では簡単にポイントを解説しましょう。 ISMS取得プロジェクトを推進するメンバーというのは、絶対的な答えがあるわけではありません。各社の規模、組織構成などにより、最も適切なメンバーは変わりますが、基本的には下記の3階層で考える必要があります。・プロジェクトリーダー・プロジェクトコアメンバー・プロジェクトサブメンバー■プロジェクトリーダーには役員クラスを配置 まずプロジェクトリーダーですが、役割としてはプロジェクトの管理、経営陣との調整、意思決定などが挙げられます。 プロジェクトリーダーは、できればいざという時、経営陣に話ができる役員クラスの方が望ましいと思います。理由は以下3点が挙げられます。(1) ISMSは経営戦略の一つとして、重要な役割を担うため。(2) 「情報セキュリティ」に関する活動は、売上増加やコストダウンに直接的な影響を与えるものではなく、非協力的な人・部門が出てくる可能性があるため。(3) ISO27001の活動では、経営陣への報告が必要な場合があり、さらにISMSの活動をより良くするためには、経営陣に提案する必要が出てくる可能性があるため。■実作業に深く関わるプロジェクトコアメンバーとサブメンバー 続いてプロジェクトコアメンバーとサブメンバーですが… 【執筆:浦名祐輔、太田 智明】 ※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。 コラムの全文は、同社下記情報サイトから利用可能です。 http://rm.jmc.ne.jp/service/iso27001/27column02.html
