5.3 組織の役割、責任及び権限
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 5.3 |
| 分類 | リーダーシップ |
トップマネジメントは、情報セキュリティに関連する役割に対して、責任及び権限が割り当てられ、組織内に伝達されることを確実にしなければならない。
トップマネジメントは、次の事項に対して、責任及び権限を割り当てなければならない。
- a) ISMSが、この規格の要求事項に適合することを確実にする。
- b) ISMSのパフォーマンスをトップマネジメントに報告する。
情報セキュリティに関する役割、責任及び権限を明確にし、組織全体でISMSを効果的に運用するため。
当社における実施状況
Section titled “当社における実施状況”当社では、1. 組織的対策において、情報セキュリティに関連する役割、責任及び権限を定義し、組織内に伝達している。
情報セキュリティ組織体制
Section titled “情報セキュリティ組織体制”flowchart TB
subgraph トップマネジメント
CEO[代表取締役<br/>情報セキュリティ責任者]
end
subgraph 管理層
CTO[CTO<br/>情報セキュリティ部門責任者<br/>インシデント対応責任者<br/>システム管理者]
ADMIN[管理部責任者<br/>教育責任者<br/>監査・点検責任者]
SALES[営業部責任者<br/>個人情報苦情・相談窓口]
end
subgraph 実務担当
STAFF[管理部担当者<br/>情報セキュリティ共有者]
end
CEO --> CTO
CEO --> ADMIN
CEO --> SALES
ADMIN --> STAFF
役割と責任の定義
Section titled “役割と責任の定義”| 役職名 | 役割・責任 | 担当者 |
|---|---|---|
| 情報セキュリティ責任者 | 情報セキュリティに関する方針の決定および全体の最終責任を負う | 代表取締役 |
| 情報セキュリティ部門責任者 | 各業務における情報セキュリティ対策の運用管理および実施責任を負う | CTO |
| システム管理者 | 情報システムに対する技術的セキュリティ対策の設計・導入・運用 | CTO(兼務) |
| インシデント対応責任者 | インシデント発生時の影響評価、対応方針の決定および対応の指揮 | CTO |
| 個人情報保護管理者 | 個人情報保護法および関連法令の遵守責任 | 代表取締役 |
| 個人情報苦情・相談窓口 | 個人情報に関する苦情・相談の一次対応および社内連携 | 営業部責任者 |
| 教育責任者 | 情報セキュリティ教育の企画・実施・記録管理 | 管理部責任者(または代表取締役) |
| 情報セキュリティ共有者 | 情報セキュリティに関する適時の情報共有 | 管理部担当者 |
| 監査・点検責任者 | 情報セキュリティ関連規程および運用状況の点検・評価 | 管理部責任者(または代表取締役) |
詳細は1. 組織的対策を参照。
a) ISMSの規格適合の確保
Section titled “a) ISMSの規格適合の確保”ISMSがJIS Q 27001:2023の要求事項に適合することを確実にする責任は、以下のとおり割り当てられている。
| 責任 | 担当者 | 具体的な活動 |
|---|---|---|
| 全体統括 | 情報セキュリティ責任者(代表取締役) | 方針承認、資源配分、最終意思決定 |
| 運用管理 | 情報セキュリティ部門責任者(CTO) | 技術的対策の実施、日常運用の監督 |
| 監査・点検 | 監査・点検責任者(管理部責任者) | 年1回の内部監査、規程遵守状況の確認 |
b) ISMSパフォーマンスの報告
Section titled “b) ISMSパフォーマンスの報告”ISMSのパフォーマンスをトップマネジメントに報告する責任は、以下のとおり割り当てられている。
| 報告内容 | 報告者 | 報告先 | 頻度 |
|---|---|---|---|
| 内部監査結果 | 監査・点検責任者 | 情報セキュリティ責任者 | 年1回(8月) |
| インシデント対応状況 | インシデント対応責任者 | 情報セキュリティ責任者 | 発生時、および年1回 |
| リスクアセスメント結果 | 情報セキュリティ委員会 | 情報セキュリティ責任者 | 年1回 |
| 教育実施状況 | 教育責任者 | 情報セキュリティ責任者 | 年1回 |
マネジメントレビューは年1回(8月)に実施し、内部監査と同日に行う。詳細は1. 組織的対策を参照。
組織内への伝達
Section titled “組織内への伝達”役割、責任及び権限は、以下の方法で組織内に伝達されている。
- 1. 組織的対策での文書化
- ISMS文書管理システムでの公開
- 入社時の情報セキュリティ教育での説明
- 役割変更時の個別通知
少人数体制における運用
Section titled “少人数体制における運用”当社は少人数体制のため、一部の役割は兼務となっている。兼務による利益相反を防ぐため、以下の点に留意している。
- 内部監査は、運用当事者以外の者が担当(独立性の確保)
- 重大な意思決定は代表取締役が最終判断
- インシデント対応は迅速性を重視しCTOが担当、経営判断を要する場合は代表取締役が判断
| 証跡 | 内容 | 保管場所 |
|---|---|---|
| 組織的対策規程 | 役割・責任の定義 | ISMS文書管理システム |
| 組織図 | 組織体制の図示 | ISMS文書管理システム |
| 任命記録 | 各役割への任命 | 人事記録 |
| マネジメントレビュー議事録 | パフォーマンス報告の記録 | Google Drive |