遅ればせながら、第一回目プロジェクト会議のレジュメ構成を紹介しておきます。
1、ブリーフィングツアー
2、ISMSの概要
3、ISMS認証取得までの流れ
4、ISMSへの取り組み
・適用範囲の決定
・ISMS組織の決定
・情報資産の洗い出し
・審査登録機関の選定
これまで、ブリーフィングツアーとして社内を拝見し、ISMSの必要性や制度の説明、今後のスケジュールを確認したお話し、「適用範囲の決定」、「情報資産の洗い出し」について述べてきました。
あと、「ISMS組織の決定」、「審査登録機関の選定」を簡単に述べて、第一回目プロジェクト会議のお話は終りにします。
「ISMS組織の決定」は、通常は、代表者をトップとして、情報セキュリティ責任者、システム管理者、内部監査責任者、および、部門管理者あるいは業務管理者などを選任していただきます。
適用範囲を事業部単位とする場合は、取締役事業部長がトップであっても良いでしょう。基本的は、取締役クラスの「経営陣」と言えるに相応しい職位にある人が望まれます。
また、必ずしもということはありませんが、管理策A.6.1.1「組織の中にある関連する役割及び職務機能をもった様々な代表が調整しなければならない」を実現する機関として、また、ISMSを効果的、効率的に運用するための「ISMS委員会」なる組織を設置すると良いでしょう。
審査登録機関(認証機関)の選定そのものは、もう少し後からでも良いのですが、事前に情報を入手し、見積もりなど得ておくと良いと思います。
審査機関のその時の状況によって「審査は○箇月前から予約し欲しい。」ということがあり、全体計画の中で予約時期などを考慮しなければなりません。
また、審査機関が発行する情報誌や資料などを入手することができ、ISMS構築上の参考になる場合もあります。
必要に応じて、紹介もしています。
