ISMS(ISO27001)のリスク所有者とは?誰が適切なのか?

isms(ISO27001)のリスク所有者とは?誰が適切?


ISMS(ISO27001)の情報セキュリティにおけるリスク所有者とは誰のことでしょうか?
ISMS(ISO27001)におけるリスク所有者とは、リスクの管理と説明の責任がある人(または組織)を意味します。
どんな人がISMS(ISO27001)のリスク所有者にふさわしいか解説していきます。

1.ISMS(ISO27001)のリスク所有者とは

ISO27001:2013には手引のための用語集としてISO27000というものが存在しています。
ISO27001に登場する言葉を解説する辞書のようなものですが、その中で、

「リスク所有者」とは
「リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体」

と記載されています。

「リスク」とは、同じISO27000内で
「目的に対する不確かさの影響」
と記載されています。

主体は意思に基づいて行動を起こすものを指しますので、通常は個人単位ですが、会社組織の場合は部署やチームなども含まれると考えられます。

アカウンタビリティは英単語上の意味として説明責任や義務を表します。

つまりリスク所有者とは、
「ある目的に対する不確かさへの影響を管理・運用するにあたって、その管理や運用方法の説明責任を負う人(または組織)」

となります。

2.要求事項ではどう定義されているのか?

では、ISO27001:2013の中にはリスク所有者について記載されているのでしょうか。
以下の2箇所にリスク所有者についての記載があります。

①6.1.2 情報セキュリティリスクアセスメント
②A.8.1.2 資産の管理

それぞれに記載されている内容として、
①6.1.2 情報セキュリティリスクアセスメントでは、
「リスク所有者を定めておかなければならない」
とされています。

次に、②A.8.1.2 資産の管理では、
「情報セキュリティのリスクを運用管理することについて、責任及び権限をもつ人又は主体をリスク所有者としている。情報セキュリティにおいて、多くの場合,資産の管理責任を負う者は,リスク所有者でもある」

という記載があります。

Aというのは規格本文に対して附属書や管理策と呼ばれています。
これは、情報を守る方法として、業務に当てはまるものがあれば、対策を行いましょうというものです。

ISMSを運用する上ではこの管理策も考慮しましょう。

3.どんな人がリスク所有者にふさわしいの?

リスクは、単なる危険性や危ないことではなく「目的に対する不確かさの影響」です。
この影響は目的に対して好ましい影響も、好ましくない影響も含まれます。

全てに好ましい影響が潜在的にあれば良いのですが、実際は好ましくない影響が含まれていることが多いでしょう。

リスク所有者は、その好ましくない影響が実際に発生した際に責任を負う立場にあります。

つまり、どのような人がリスク所有者にふさわしいかと言えば、
好ましくない影響が発生した際に責任をとれる方、役職者や責任者の立場にある方となります。

しかし、その資産によってリスクの性質や管理方法、リスクに対しての対策は異なるため、単に役職者や責任者が望ましいというわけではありません。

4.全部のリスク所有者を社長にしてもいいの?

役職者や責任者というと、一番最初に想定されるのは社長かもしれません。
代表ですから、その会社の責任を代表して負う必要がもちろん出てきます。

しかしながら、資産によってそのリスクの性質や管理方法は異なってきます。

例えば、取引先と交換した名刺で考えてみましょう。
取引先との名刺は会社に保管される、名刺入れに保管し持ち歩く、スマートフォンのアプリにデータとして管理するなどあるかも知れません。
その名刺を紛失してしまった場合、誰が責任をとる必要があるでしょうか?

この場合、社長よりもまずは名刺管理をしている当人の責任となることが予想されます。

最終責任はもちろん社長にありますが、資産管理を行っている当事者として責任を負う必要があるのは名刺を受け取った本人が対策を怠っていたため、となります。

もうひとつ事例を考えるとすると、例えば履歴書などを紛失したとなると人事部内での管理対策が不足していたなどの可能性があります。

この場合はリスク所有者を採用担当者にする、もしくは人事部長とするなど、その資産に合った選定を行う必要があります。

まとめ

ISMS(ISO27001)のリスク所有者とは、リスクの管理と説明の責任がある人(または組織)を意味します。
社長だけをリスク所有者とするのではなく、それぞれの資産を鑑みて責任者は誰であるのかを選定しましょう。

カテゴリー: