5.4管理層（経営陣）の責任

5.4管理層の責任とは？

ISO 27001:2022の管理策「5.4管理層の責任」とは、従業者に対する経営陣の責任について定めた管理策で、本文の5項と一部重複しています。目的は、従業者に自身の役割の理解を促し、責任を認識させることで適切な行動をとらせリスクを予防することにあります。

例えば、以下のような責任が示されています。

• 情報セキュリティに関する従業者の役割や責任を定めること
• 各種情報資産を取り扱う前に、従業者自身の役割と責任を伝えること
• 従業者を啓発し、必要な事項を周知すること
• 従業者に技能や資格を持たせ、維持すること
• 従業者自身からルール違反などが報告される仕組みを構築すること
• 資源を提供すること

以上ですが、簡単に言い換えると次のようになります。

• 役割・責任に関するルールや手順を定めること
• 必要な力量や資格を検討し、教育や訓練を実施すること
• 内部通報の仕組みを設けること
• 適切な申出に対して資源を提供すること

大半は、他の要求事項でも要求されていることであり、具体的には、「ルールや基準類を承認する」「教育や訓練の計画や結果を確認する」といった形で責任を果たすことになりますが、自ら直接それをなすだけでなく、権限を委譲した責任者に任せ、自身はその責任者から報告を受けるという間接的な形でも責任を果たすことになります。最終的に経営層自身の責任下で実施しましょうということです。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。