情報セキュリティマネジメントシステム(ISMS)の構築は、通常、経営層に任命されたCISO(Chief Information Security Officer:情報セキュリティ管理責任役員)が中心となり、各部門から選抜された委員により構成される情報セキュリティ委員会が行います。
この情報セキュリティ員会には、事務局の設置、情報システム管理者や教育責任者の参加が不可欠です。
また、情報セキュリティ委員会から独立した監査グループ(監査責任者、監査人で構成される。)の設置も必要となります。?
しかし、ここで特に重要となるのが、CISOと情報システム管理者の人選です。 CISOには適用範囲内の組織を掌握する人望が求められ、また、権限も委譲されている必要があります。 一方、情報システム管理者は、ISO27001が情報セキュリティの規格であるために、ITに関するある程度の知識と実務経験、セキュリティに対する意識の高さ等の資質も求められます。
|