このページでは、SecureNavi内で設定する「役割」について詳細を説明します。
自社内の「役割」を設定し各メンバーに担ってもらうことで、自社ISMSにおけるチーム体制を編成しましょう。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
本文 5.1, 5.3
「役割」とはなにか?
これからISMSを構築・運用していくにあたって必要な、タスク担当者のことを指します。
例えば、会社を経営していくために”社長”や”部長”、各方面の"担当者"といった「役割」が必要なように、ISMSを構築・運用していくためにも「役割」が必要になります。
以下では、必要な「役割」とそれぞれの仕事内容、またどういった人が適任なのか…などについて紹介します。
ISMSにおける一般的な「役割」について
- ISMSの構築に必要な「役割」を図式化すると、一般的には以下のようになります。
- 「役割」は大きく分けて「1. ISMS推進組織」と「2. 監査チーム」の2つに構成が分かれます。
1. ISMS推進組織
その名の通り、ISMSを推進していく役割です。
各所と連携しつつ、ISMSのために必要な取り組みを実施し、ISMSの構築・運用を行います。
このチームの「役割」は一般的には、「トップマネジメント」「ISMS責任者」「ISMS担当者」の3種類によって構成されます。
それぞれの役割の詳細については、以下の記事にまとめておりますのでご参考ください。
どんな人が適任?などを紹介しております。
2. 監査チーム
ISMS推進組織が構築したISMSが適切に運用されていることを監査する役割です。
主に「内部監査」という取り組み/タスクにおいて登場します。
このチームの「役割」は一般的には、「内部監査責任者」「内部監査員」の2種類によって構成されます。
それぞれの役割の詳細については、以下の記事にまとめておりますのでご参考ください。
こちらも、どんな人が適任?などを紹介しております。
これらの「役割」があればISMS構築においては十分ですが、上記の「役割」の種類はあくまで例示です。
実際は組織の規模や文化などに応じて「役割」をカスタマイズすることも問題ありません。
例えば、必要な「役割」の新設、または仕事内容の編集などをしてもOKです。
自社にとって必要な「役割」や、その仕事の内容は何にしたら良いか?を検討・考慮の上、必要に応じて柔軟な編成を試みてください。
(もしも自社の「役割」編成に際して質問があればいつでもチャット等でご相談くださいませ)
”独立性”の考え方
ISMSの役割を決定する上で「独立性」という考え方を考慮する必要があります。
具体的には、以下の点に考慮すべきです。
「監査チーム」は同じ部署のメンバーで構成しない
これは「監査チーム」が行う”内部監査”という実務に影響がある考慮すべき点です。
”内部監査”は、「監査チーム」の監査員に任命された方が、ISMS適用範囲である各部門の担当者に対して
セキュリティの取り組みが適切に行われているかどうかをチェックする活動です。
この活動において、「監査チーム」のメンバーがすべて同じ部署のメンバーで構成されていると、
必然的に自分の所属している部署を監査せざるを得なくなります。
その場合、自分の部署を自分で監査するわけですから、客観的な監査ができなくなる可能性があります。
そのため、一般的には「監査チーム」は複数の部署で構成するのが良いと言われています。
「独立性」の観点から考慮すべき点の1つですのでご認識ください。
(少人数の企業体制である場合など、どうしても上記の「独立性」を保てないケースの場合は、
審査機関に事情をお伝えし予め審査に対する影響度などを相談しておくことを推奨いたします)
「役割」の設定方法/操作方法
「役割」の任命方法する方法 / 任命者を変更・更新する方法
- SecureNaviTOP画面・左側メニューから「組織の状況」▶︎「役割」をクリック
(または構築ガイドNo.3「役割を決める」をクリック) - 各役割の名称横にある<編集✏︎>ボタンをクリックして、編集画面を開く
- 編集画面内の<新しく任命する>ボタンをクリック、
SecureNaviへ登録済メンバーの一覧から、任命対象の方を選択・クリック
(新しくメンバーを追加したい場合は、ユーザーの追加を参考に登録対応をしてください) - <更新する>ボタンをクリック、該当役割に任命ユーザー名が表示されたら設定完了
- 任命者を変更する場合は、2.編集画面から再設定が可能です
新しい「役割」の追加 / 各「役割」の”責任と権限”を編集する方法
- SecureNaviTOP画面・左側メニューから「組織の状況」▶︎「役割」をクリック
(または構築ガイドNo.3「役割を決める」をクリック) - 遷移した画面の右側、<役割の設定>を選択
- 役割の追加の場合は、画面の右側<追加>をクリックして、編集画面を開く
- 役割の内容編集の場合は、各役割の<名前>部分(青く表示)をクリックし編集
- 編集画面内の以下項目を自由表記/選択にて設定する
- 名前
- 責任と権限
- 文書承認権限
- <追加>ボタンをクリックし設定を反映
- その後、役割の名前一覧の中に設定した項目名称が表示されていれば追加完了です
「役割」の担当変更方法 / 見直しを行う場合
- こちらのページ内で詳細説明をご参照ください ▶︎ 「役割」の担当変更方法 / 見直しを行う