CIO直下
ISMS推進体制の作り方は、先ず(何も考えずに)、経営者を設定する。情報管理統括機能を適用範囲に含む場合は、経営者は社長またはCIO。または直下の役員レベル。
IS管理責任者は情報システム部門長とする。最近、情報セキュリティ部を設け、情報セキュリティ部の長をIS管理責任者に置くケースがあるが、情報システム部門と情報セキュリティ部門の仕事の区分が結局明確に出来ないため上手く行かない。ISMS事務局として情報システム部門内に情報セキュリティ部(またはグループ)を置くぐらいが妥当なところです。
推進体制に参加する部門は経営者直下の部門部署。情報システム部門も直下の部門部署の一つ。委員会の代表はそれぞれ部門長。別に調整の場があって、その場に出るのは各部門のISMS推進員ぐらいが妥当。
監査機能は、経営者の下に監査機能を有する部門があれば(新たに設定することも含め)、その部門の役割とする。無い場合は、特命で対応する。または適用範囲外の部門・部署、さらには社外まで考慮する。
情報システム部門単独
適用範囲を情報システム統括部門単独にする場合は、全体の階級を一つ下げて、経営者をシステム部門長にすることも形式的には可能。しかし、適用範囲の拡大が進まず、部分的なISMSの状態に停留することもある。
全社ITガバナンスなど適用範囲の拡大を前提として考えている場合は当初より経営者は社長またはCIOが望ましい。
「理由」:
単独であってもインターフェースの管理策により実質的に全社に対するITガバナンスはスタートする。緩やかでも全社のPDCAを回す時に社長またはCIOの判断が適宜入れることが出来る形を実現する。
管理責任者はやはり情報システム部門長。
監査責任者は他部門からアサインしても構わない。自部門から出す場合は監査計画〜監査レポートは直接CIOに行くように配慮が必要。
委員は情報システム部門内の各部署長
情報システム部門を含まない
-情報システム統括部門ISMS構築済-
・既に情報システム統括部門がISMS構築済みなら、特に問題ない。インタフェースの整合性など考慮する部分は、情報システム上、及びマネジメント上それぞれあるが、本質的な抜け漏れにはならない。
-情報システム統括部門ISMS構築済-
・情報システム統括部門のISMS構築未了の場合。
・形式的に適用範囲を決めて、ISMS推進体制を組んで進めることは可能。
・インフラ等が抜けた状態のため、ISMSとしての有効性は疑問。(事例:F社など)
・こういう形での取り組みは避けるべき。営業上どうしてもワッペン(認証マーク)が欲しいケースのみです。