• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈

_shared_img_thumb_TSUCH160130540I9A6568_TP_V

いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの田口と申します。

前回のブログでは「ISO14001(EMS):2015年規格改訂4項「組織の状況」規格解釈」というものをテーマに書かせていただきました。

今回は…「ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈」というテーマで書かせていただきます!またしても前回に続いて、規格解釈シリーズ!!キャーキャー!

今回は、田口がブログでISO27001 (アイエスオーニマンナナサエンイチ:ISMS):2013年規格改訂5.3項「組織の役割、及び権限」の部分の規格解釈という形でやさーしく、わかりやすーく、丁寧に!説明させていただきます。

ちなみに、ここ以降はISMS(アイエスエムエス)というものが出てきますが、ISO27001(ISMS)と同義です。

5.3項の要求事項

まずはじめに、5.3項の要求事項には何が書かれているのでしょうか?

トップマネジメントは,情報セキュリティに関連する役割に対して,責任及び権限を割り当て,伝達することを確実にしなければならない。
トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。

a) ISMS (アイエスエムエス)が,この規格の要求事項に適合することを確実にする。
b) ISMS のパフォーマンスをトップマネジメントに報告する。

そこまで難しいことは書いてなさそうですね。
よく勘違いしやすいのは、トップマネジメントについてです。

トップマネジメント≠社長(代表取締役社長)
ということです。

必ずしも、トップマネジメントを社長にしなければならないことはありません。認証の範囲によって変わってくると思います。例えば、営業部と開発部だけの認証にしている場合は、営業部長がトップマネジメントとなっても良いのです。もちろん!社長でも良いですよ!

そのトップマネジメントが、情報セキュリティを守るための役割を任命することが始まりになります。

あなたの会社にはどんな役割が必要ですか?情報セキュリティ責任者?監査責任者?事務局員?システム責任者?インシデント委員?etc…あー!たくさん作らないといけないですね。選ぶの大変ですね。

これらの役割がISMS(アイエスエムエス)で必要な項目をクリアしていれば、どんなに役割を作っても構いません。ISMSのPDCAがしっかりと回れば逆に少なくても構いません。

今の現状、あなたの会社ではどんな役割を立てていますか?どれくらいの役割を作っていますか?

どんな役割が必要か?

さて、ここでもう一度聞きます。あなたの会社にはどんな役割が必要ですか?

ムダに人を割いてしまっていませんか?
その役割は本当に必要ですか?
委員会や事務局の人数はその人数で大丈夫ですか?

その役割に、ムダに人を割くことはやめましょう!そのムダな役割をやめましょう!社内のエースたちをそこへ割くのはもったいないです。そこに割くのではなく、会社の売上を伸ばすための時間に割いた方が会社にとってはとても良いはずです。

会社の売り上げを上げたいですか?
セキュリティのレベルを上げていき、作業効率を下げていきますか?

もちろん売り上げのほうが会社にとって大事なことだと思います!さぁ、売り上げを伸ばしていきましょうよ!

ということで、必要のない余計な役割を無くしましょう!僕は、ISMSの責任者、事務局(責任者の兼務でも良いです)だけで良いと思っております。あとは、監査時期に監査の責任者を任命するというルールにしてしまえば大丈夫です。なので、2人だけでも十分ですよね。

これだけ絞れます。徹底的にムダを省いて会社運営を主とした体制を作って、ISMSのPDCAを回していくのがどれだけ会社のためになるのか。今の時代、ISOに時間を割く時代ではないと思います。もちろん、ISOをやることは間違えでもないし、悪いことではないです。ただ、ムダに時間を割く必要がないと思うんですね。

実際、僕がコンサルとしてやらせていただいている会社様には、トップマネジメントと管理責任者、事務局の役割しか決めておりません。事務局は僕なので、書類作成や内部監査(あ、監査リーダーに任命してもらっている形となります)といったことをやっています。
もちろん、担当の方と一緒にやっています。僕は提案しかしていません。決定はお客様に行って頂いておりますので、安心してください。

弊社では、運用代行サービスを行っております。あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

話が長くなりました…

それでは、今回は「ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈」というテーマで書かせていただきました。また読んでいただけることを楽しみにしております。ありがとうございました。

カテゴリー:ISOコラム タグ:環境マネジメントシステム 規格要求事項
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ