ISO /IEC27001(*1)認証 を取得する場合、ISO27001 規格 の「要求事項」に適合する必要がありますが、適用の対象は企業/組織で自由に設定することができます。ISO/IEC27001の要求事項は、以下内容となっています。適用範囲 を限定するか否かは、特定の事業領域に限定して リスクマネジメント し、企業/組織の ISMS 導入目的および目標が達成できるのであれば適用範囲を限定して認証を受けるのも一取得方法でしょう。ただし、以下のようなケースもありますので、安易に事業/部門(部署)を適用範囲から除外することは難しく、適用範囲について慎重に検討する必要があります。
*1 ISO/IEC27001:2013(JIS Q 27001:2014)

【ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項】

「この規格は、組織の状況の下で、ISMSを確立し、実施し、維持し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応 を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない」

また、「4.3情報セキュリティマネジメントシステムの適用範囲の決定」では、次のような要求があります。

「この適用範囲を決定するとき、組織は、次の事項を考慮しなければならない」
 a) 4.1 に規定する外部及び内部の課題
 b) 4.2に規定する要求事項
 c) 組織が実施する活動と他の組織が実施する活動との間のインターフェース及び依存関係

「ISMSの適用範囲は、文書化した情報として利用可能な状態にしておかなければならない」
【出典】JIS Q27001:2014(4.3 情報セキュリティマネジメントシステムの適用範囲の決定)

要求事項の解釈

適用範囲の限定について

ISO/IEC27001:2013の要求事項では、適用の対象が「適用範囲内に保有されるすべての情報資産」であり、「全社」という単位だけなく、以下事業エリア(事業所/部門(部署)、事業」などの単位での認証取得も可能です。また、適用範囲はあとから拡大す 
ることも可能で、ISO/IEC27001認証取得時は、全社一括ではなく、一部の事業所/部署(業務)に限定し、あとから適用範囲を追加することもできます。ただし、適用範囲を拡大する場合、ISMSを再構築することになり、審査機関への変更通知、ISMS文書の修正、新規に加わった担当者の教育など業務負荷・コストが増加します。

【認証取得の単位-例】

  • 事業 ・・・事業内容/業務内容
  • 組織 ・・・組織図で示す組織(人員情報)
  • 物理的  ・・・事業所名/施設名、部署名、所在地等
  • 資産 ・・・情報資産(*2)
  • 技術 ・・・ネットワーク環境(セグメント/Windowsドメイン、情報システム/ソフトウェア等)

*2 弊社サイト[ISOシリーズ]のコラム「情報資産を維持することとリスクアセスメント」で情報資産について掲載しています。こちらも合わせてご覧ください。

内部と外部の課題を考慮する

一部の業務等を外部委託している場合や適用範囲外の事業エリアについては、責任範囲や委託内容などについて明確にするよう要求しています。

適用範囲は文書化し、利用可能な状態にする

適用範囲の決定後、適用範囲について文書化し、いつでも確認できる状態(可用化)にあることを要求しています。一般的には、ISMSマニュアルに適用範囲について記載します。

適用除外が難しいケースの紹介

  • 一連の業務プロセスが複数の部門にまたがる場合、その業務プロセスに関わるすべての部門(部署)を適用範囲とするべきです
  • 適用範囲にあるITインフラストラクチャを、除外したい事業/部門(部署)が利用している場合、リスクマネジメントにおいて不適切となります。その場合、適用範囲にあるITインフラストラクチャを利用する事業/部門(部署)はすべて「適用範囲」に含めることが適切です。

適用範囲を決定する上で、考慮すべきことは?

上記「ISO27001規格の要求事項」より、その特徴・必要性を判断し、範囲を決定しますが、以下の点についても考慮が必要です。

  • セキュリティインシデントが発生した場合に損失の大きい事業/業務
  • 主力となる製品やサービス
  • セキュリティリスク*1の高いサービスや部門(部署)(*1 弊社サイト[ISOシリーズ]のコラム「情報資産を維持することとリスクアセスメント」で情報資産について掲載しています。こちらも合わせてご覧ください。)
  • 企業/組織で保有する情報資産のうち、外部に漏洩すると問題となる価値ある情報を取り扱う部署(部門)(Ex. 製品技術情報、顧客情報、経営戦略情報、人事情報、個人情報など機密性の高い情報を取り扱っている部門(部署))
  • 取引先から認証取得の要求がある事業(製品)
  • 新規顧客の開拓で対象となる事業(製品)
  • 脆弱性と脅威が潜んでいる可能のある情報資産 *1
  • 情報セキュリティ対策はどの程度講じられているか? (十分か?)

その他、適用範囲の事業エリアでは、認証取得するための業務の負荷増加や取得費用・管理コスト、業務への影響などについても考慮が必要です。効率よくISMSを運用し、継続的にセキュリティ改善に取り組み、期待する効果を得られるようISMSの推進活動を行います。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。