情報セキュリティの推進体制をつくる
- 舩生 好幸
- 6月6日
- 読了時間: 4分
更新日:6月9日
~ISO/IEC 27001に基づきご説明~
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2025.6.6
(更新:2025.6.9)

情報セキュリティを組織的かつ実効的に運営するためには、
経営者などトップマネジメントのリーダーシップに基づき、必要な組織・役割を定め、それらに責任や権限を割り当て、機能させる必要があります。
本ブログは、情報セキュリティマネジメントシステムの認証規格・ISO/IEC27001に基づいてご紹介します。
*ISO/IEC27001規格は第三者認証取得の有無にかかわらず、組織の情報セキュリティ推進の仕組み=「情報セキュリティマネジメントシステム(ISMS)」を検討する際に大変参考になります。
〇責任及び権限を持った体制作り
ISO/IEC 27001には、「5.3 組織の役割,責任及び権限」という箇条があります。以下に引用します。
--(引用:JIS Q 27001:2023(ISO/IEC 27001:2022)5.3項)ーー
5.3 組織の役割,責任及び権限
トップマネジメントは,情報セキュリティに関連する役割に対して,責任及び権限が割り当てられ,組織内に伝達されることを確実にしなければならない。
トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。
a) ISMSが,この規格の要求事項に適合することを確実にする。
b) ISMSのパフォーマンスをトップマネジメントに報告する。
注記 トップマネジメントは,ISMSのパフォーマンスを組織内に報告する責任及び権限を割り当てることも可能である。
--(引用ここまで:JIS Q 27001:2023(ISO/IEC 27001:2022)5.3項)ーー
ISO/IEC 27001の上記箇条に沿って、経営者などトップマネジメントのリーダーシップに基づき、以下のような組織や役割の設定を行います。
・情報セキュリティ推進に必要な役職・役割を決定し、任命・指名して推進に関する権限を与える。
(ISMSの管理責任者、マネジメントレビューメンバー、情報セキュリティ委員会メンバー、内部監査員、等)
・情報セキュリティ推進を主管する事務局など、必要な組織を設置する(既存組織内に設置する場合もあり)。
・既存の社内各部門についても、情報セキュリティ推進に際して、どのような責任及び権限を持つかを決定する。
また、併せて以下の取り組みも行われると思います。
・情報セキュリティの推進体制をわかりやすい図として作成する。
・ISO/IEC 27001規格の要求事項を参考に、情報セキュリティ推進に必要な管理策やアクションに、どの組織が主管・関与するかがわかる、(箇条番号と)組織名とのマトリクス(一覧表)を作成する。
そして、上記の決定事項および作成された体制図やマトリクスは、確実に認識・理解されるよう、組織内に伝達する必要があります。
〇トップマネジメントへの報告にも留意
前段落の説明は、情報セキュリティを推進するための体制を構築することを中心に述べましたが、5.3 b)項及び注記の部分にも注目すべきです。再掲します。
--(引用:JIS Q 27001:2023(ISO/IEC 27001:2022)5.3項より)ーー
b) ISMSのパフォーマンスをトップマネジメントに報告する。
注記 トップマネジメントは,ISMSのパフォーマンスを組織内に報告する責任及び権限を割り当てることも可能である。
--(引用ここまで:JIS Q 27001:2023(ISO/IEC 27001:2022)5.3項より)ーー
上記箇条の要求事項によれば、
ISMS(情報セキュリティマネジメントシステム)の結果としてのパフォーマンス情報は、責任及び権限を与えられた部署及びメンバーから経営者などトップマネジメントへ報告される必要がある、と理解できます。
(具体的には、設置された事務局が各組織からの報告を取りまとめ、管理責任者からトップマネジメントへ報告する、或いは経営会議やマネジメントレビューなどの場で報告・審議されることになると思われます。)
このように、トップマネジメントによって組織内に責任及び権限が割り当てられ、各部署で情報セキュリティに関する活動が実施され、その結果としてのパフォーマンスがトップマネジメントへ報告されることで、組織としての情報セキュリティ推進の「PDCAサイクル」が回りはじめます。
これらは組織的な情報セキュリティ推進の仕組み=情報セキュリティマネジメントシステム(ISMS)構築の基本といえると思います。
〇まとめ・認証取得にかかわらず、国際規格の活用は有効です
ISMSの第三者認証の取得は任意でありますが、
組織的な情報セキュリティ体制構築を考える際は、ISO/IEC 27001などの国際規格をご参考にされると検討の際に「抜け漏れ」が少なくなり、結果的に作業も効率的になります。
ご利用をお勧めします。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments