このページでは、SecureNavi内で設定する「役割」について詳細を説明します。

自社内の「役割」を設定し各メンバーに担ってもらうことで、自社ISMSにおけるチーム体制を編成しましょう。

• 「役割」とは何か
  • ISMSにおける一般的な「役割」について
    • 1. ISMS推進組織
    • 2. 監査チーム
• ”独立性”の考え方
• 「役割」の設定方法/操作方法
• 「役割」の担当変更方法 / 見直しを行う場合
• よくあるご質問

（Pマーク用のマニュアルはこちらをご覧ください）

JIS Q 27001 対応箇所

本文 5.1, 5.3

「役割」とはなにか？

これからISMSを構築・運用していくにあたって必要な、タスク担当者のことを指します。
例えば、会社を経営していくために”社長”や”部長”、各方面の"担当者"といった「役割」が必要なように、ISMSを構築・運用していくためにも「役割」が必要になります。

以下では、必要な「役割」とそれぞれの仕事内容、またどういった人が適任なのか…などについて紹介します。

ISMSにおける一般的な「役割」について

• ISMSの構築に必要な「役割」を図式化すると、一般的には以下のようになります。
• 「役割」は大きく分けて「1. ISMS推進組織」と「2. 監査チーム」の2つに構成が分かれます。

1. ISMS推進組織

その名の通り、ISMSを推進していく役割です。
各所と連携しつつ、ISMSのために必要な取り組みを実施し、ISMSの構築・運用を行います。

このチームの「役割」は一般的には、「トップマネジメント」「ISMS責任者」「ISMS担当者」の３種類によって構成されます。
それぞれの役割の詳細については、以下の記事にまとめておりますのでご参考ください。
どんな人が適任？などを紹介しております。

• 役割の紹介（トップマネジメント）
• 役割の紹介（ISMS責任者・ISMS担当者）

2. 監査チーム

ISMS推進組織が構築したISMSが適切に運用されていることを監査する役割です。
主に「内部監査」という取り組み/タスクにおいて登場します。

このチームの「役割」は一般的には、「内部監査責任者」「内部監査員」の２種類によって構成されます。
それぞれの役割の詳細については、以下の記事にまとめておりますのでご参考ください。
こちらも、どんな人が適任？などを紹介しております。

• 役割の紹介（内部監査責任者・内部監査員）

これらの「役割」があればISMS構築においては十分ですが、上記の「役割」の種類はあくまで例示です。
実際は組織の規模や文化などに応じて「役割」をカスタマイズすることも問題ありません。
例えば、必要な「役割」の新設、または仕事内容の編集などをしてもOKです。

自社にとって必要な「役割」や、その仕事の内容は何にしたら良いか？を検討・考慮の上、必要に応じて柔軟な編成を試みてください。
（もしも自社の「役割」編成に際して質問があればいつでもチャット等でご相談くださいませ）

”独立性”の考え方

ISMSの役割を決定する上で「独立性」という考え方を考慮する必要があります。
具体的には、以下の点に考慮すべきです。

「監査チーム」は同じ部署のメンバーで構成しない

これは「監査チーム」が行う”内部監査”という実務に影響がある考慮すべき点です。
”内部監査”は、「監査チーム」の監査員に任命された方が、ISMS適用範囲である各部門の担当者に対して
セキュリティの取り組みが適切に行われているかどうかをチェックする活動です。

この活動において、「監査チーム」のメンバーがすべて同じ部署のメンバーで構成されていると、
必然的に自分の所属している部署を監査せざるを得なくなります。
その場合、自分の部署を自分で監査するわけですから、客観的な監査ができなくなる可能性があります。

そのため、一般的には「監査チーム」は複数の部署で構成するのが良いと言われています。
「独立性」の観点から考慮すべき点の1つですのでご認識ください。
（少人数の企業体制である場合など、どうしても上記の「独立性」を保てないケースの場合は、
　審査機関に事情をお伝えし予め審査に対する影響度などを相談しておくことを推奨いたします）

「役割」の設定方法/操作方法

「役割」の任命方法する方法 / 任命者を変更・更新する方法

１.サイドメニューから「組織の状況」＞「役割」をクリック

　（または構築ガイド03「役割を決める」をクリック）

２.役割名称の右側の＜鉛筆マーク＞をクリック

３.画面右側に編集画面が表示するため、＜新しく任命する＞の箇所でクリック

　登録済みのユーザーから任命したいユーザーを選択

（新しくメンバーを追加したい場合は、ユーザーの追加を参考に登録をしてください）

４.右下の「更新」をクリック

５.任命者を変更する場合は、役割名称の横の＜鉛筆マーク＞から可能

 

各「役割」の”責任と権限”を編集する方法

１.サイドメニューから「組織の状況」＞「役割」をクリック

　（または構築ガイド03「役割を決める」をクリック）

２.役割画面の右側の＜役割の設定＞をクリック

３.役割の設定画面より役割の名称をクリック

４.以下3項目の修正が可能。

　修正完了後、右下の「更新」をクリック

• 名前
• 責任と権限
• 文書承認権限

※初期設定ではすべてトップマネジメントに文書承認権限が付与されております。

＜文書名＞をクリックすることで権限が解除されます

役割を追加されたい場合は、　「役割」自体の新規作成/追加の方法よりご確認ください。

 

「役割」の担当変更方法 / 見直しを行う場合

• 「役割」の担当変更方法 / 見直しを行うよりご確認ください。

よくあるご質問

• できるだけ少ない人数でISMSの「役割」を構成したいです
• 役割について、ISMS責任者以外にも推進担当者を登録したいが可能か？
• ISMS責任者やISMS担当者に雇用前の人間を担当にすることはできますか？（雇用予定ではある）
• 従業員数1名でISMS認証を取得することは可能ですか？