Information Security Management System

- ISO27001 -

Home


Web dandelion1.client.jp

 

★☆ 規格 ☆★
規格本文
管理目的と管理策
テンプレート

★☆ 構築計画 ☆★
考察:なぜISMSか
考察:展開アプローチ
考察:上がりのイメージ
現状調査
取り組み事例
 
 

★☆ リンク ☆★
ホーム
セキュリティ事件事故
適用範囲

★☆ Profile ☆★

Dandelion
SINCE2006

「上がり」のイメージ

 

<方針管理と機能別管理>

環境、安全、情報セキュリティ、情報インフラ、品質(プロセス)は常にその扱いが難しい。これらの機能はどの部門、どの企業にも普遍的に存在する。総務、人事、経理と同様だが歴史が浅い分、機能組織上の取り扱いについてはいまだ試行錯誤の途上にある。

どの組織にも普遍的に存在するから担当者は存在することを踏まえ、機能主管がラインを通して指示するケースと直接担当に指示するケースがある。

情報セキュリティと情報システム(ITマネジメント)の主管を分けるケースがあるが、重複が多く無駄である。ISMSで言う情報セキュリティは情報システムの開発・可用性・完全性の領域は完全に情報システムの範疇であるし、機密性もシステム要件で外せない。セキュリティとインフラ〜システムを分けた場合は後者は単なる道具立てのお守り役になり前者は実態のない(遂行責任能力のない)役割アサインになる。過渡期には既存の情報システム部門は手一杯ということで新たに情報セキュリティ主管部門または情報セキュリティプロジェクトを新設し並存させることが多い。こういう企業は多いがタイミングよく情報マネジメント部門一本に改めるべきだ。

ISMSはこの機能別管理の体系を作る後押しをしてくれる。ISMSの最高責任者(経営者)は通常社長、場合によりCIOが置かれる。1社1ISMS。グループ経営の中では子会社のCIO相当にカスケードでインタフェースを取る形。親会社の1部門の位置づけ。孫会社の場合はその下に展開した部門の位置づけ。何処までもピラミッドを構成する

1社に複数のISMSを置くことは基本的に許さない。特に相互のインタフェースが明確でない場合、情報マネジメント主管部門を含まない場合は、論外である。複数設置はあくまでも過渡期の位置づけであり、経営者(社長。部門長ではない)は統合に向けたスケジュールを明確にする必要がある。

 

持株会社制/グループ会社制のケース:

CIOはグループCIOでもよい。グループ各社にCIO的なものを置いてよいが名目にとどめるべきだ。勘違いされると混乱をきたす。

一人のCIOの指示に基づいてそれぞれの企業の情報マネジメント主管部門がそれぞれを統括する。

 

<組織構造>

最上位のセットから、各構成要素(傘下の企業)のセット、更に下部構造があればその組織のセットと、方針展開にそった階層を踏んで展開すればよい。

(セット)

  1. 経営者

  2. IS管理責任者とISMS事務局

  3. 委員会

  4. 実務調整連絡会

  5. 監査責任者と監査チーム

この5点セットを各組織に設置する。組織が大きい場合は各階層で認識に不整合を発生させないため機能別会議を持つ。各経営者、各IS管理責任者、各監査責任者。また事務局同士の交流は実質的で有益なものとなります。

 

Integrated Management System

仮想的マネジメントモデルの時代へ

 

◇情報基盤サービスの範囲

 

<事業上の枠組み>

 Ø         情報基盤サービスの定められた品質での提供。[維持運用]

Ø         事業上の競合優位を実現する基盤サービスQCDの実現。[開発]

Ø         情報基盤サービスは当然グローバルサービスとなる。

 <組織的な枠組み>

 Ø         PDCAが直接回せる範囲は情報基盤の統括管理を担当するインフラ部門

Ø         実際にサービスを提供する部門・関連会社はビジネスパートナーの位置づけ。委託契約に基づく管理。

Ø         サービスを受ける部門ユーザーは顧客の位置づけ。

 注:ISMSを全社に展開した場合、ビジネスパートナー、顧客は実際に社外にあるものだけとなり、社内ユーザー/社内ビジネスパートナーは推進体制の一部に組み込まれるが、相対的位置付けが大きく変わるものではない。但し、施策の有効性をどのように図るかについては見直しとなる公算大。

 <資産的な枠組み>

 Ø         ハードウエア(サーバー、パソコン、など)

Ø         ソフトウエア(ルール類、ライセンス、など)

Ø         コンテンツ(規定等文書類、契約、設計図、など。キリがない)

Ø         ネットワーク

Ø         サービス

Ø         施設(サーバルーム、など)

 <所在地的な枠組み>

 Ø         直下の部門拠点

Ø         資産の所在地

Ø         サービス資産の所在地(メールサービスの場合、メールサービスを提供する標準パソコン環境の所在地)については、検討が必要。

Ø         海外の当該部署

 <技術的な枠組み>

 Ø         対象となる情報システム。

Ø         他のシステムとの接続がある場合は責任分岐点(境界線)。

 

 

 

 

 

 

 

★☆ 認定機関 ☆★

★☆ 認証機関 ☆★

★☆ 海外リンク ☆★