ISMS(ISO27001)の適用範囲の決め方とは?ポイントを解説
ISO27001
は情報セキュリティマネジメントシステム(ISMS
)に関する国際
規格
です。
IT技術の普及や進化により、多くの企業がクラウドやサーバー上などに情報資産を保持するようになりました。サイバー攻撃や不正アクセス、紛失などの情報セキュリティリスクに備える必要があることから、
ISO
27001を取得する企業が増えています。
しかし、ISO27001を取得するうえで「適用範囲をどのように決定するべきかわからない」とお悩みの企業も多いでしょう。
そこで、この記事ではISMS(ISO27001)の適用範囲の決め方や注意点、適用除外について解説します。
目次
ISMS(ISO27001)の適用範囲とは
ISMS(ISO27001)の適用範囲とは、「ISO27001規格の要求事項に適合する範囲」のことです。
ISO27001の要求事項「4.3情報セキュリティマネジメントシステムの適用範囲の決定」では、対象を組織で自由に設定できると定められています。
具体的には、適用の対象は「適用範囲内に保有されるすべての情報資産」であり、「全社」以外にも、事業所や部門(部署)、事業などの単位での
認証
取得できます。
認証取得の単位の例は下記の通りです。
- 事業的境界:事業内容・業務内容
- 組織的境界:組織図で示す組織(人員情報)
- 物理的境界:事業所名・施設名、部署名、所在地など
- 資産的境界:情報資産
- 技術的境界:ネットワーク環境(セグメント・Windowsドメイン、情報システム・ソフトウェアなど)
また適用範囲はあとから拡大することも可能です。ただし、適用範囲を拡大する場合、ISMSを再構築することになり、審査機関への変更通知やISMS文書の修正、新規に加わった担当者の教育など業務負荷・コストが増加します。
ここでは、適用範囲の決め方や決定時期などの概要を解説します。
ISMS(ISO27001)の適用範囲の決め方
ISO27001の要求事項において、以下の3つを考慮したうえで適用範囲を決定するように記載されています。
- 「4.1 組織及びその状況の理解」で把握した外部・内部の課題
- 「4.2 利害関係者のニーズ及び期待の理解」で把握した利害関係者の情報セキュリティに対する要求
- 組織の業務内容と他組織との間でやり取りする情報共有システム・ネットワークにおける方法
【出典】JIS Q27001:2014(4.3 情報セキュリティマネジメントシステムの適用範囲の決定)
適用範囲の決定時期
ISO27001を新規取得する際、適用範囲の決定時期はISMS構築段階時です。組織内外の状況を把握したのち、すぐに適用範囲を決定することで、どこまでISO27001の影響があるのかを明確にできます。
基本的にISO規格は、要求事項の項番どおりに実施していくことでスムーズな進行が可能です。
適用範囲の具体例
それでは、実際にISO27001を取得している組織はどのように適用範囲を定めているのでしょうか。適用範囲の具体例は、「ISMS認証取得組織検索(外部リンク) 」から確認できます。
以下にいくつかの組織の適用範囲の例をピックアップしています。自社内外の状況に応じて設定すべきですが、参考としてお役立てください。
- ビジネスパーソン向けのマッチングアプリの提供
- 引っ越しに関する法人向け営業(法人第一営業部)
- 企業、公共向け情報システム及び組込システムの設計、開発、及び付帯サービスに係る情報管理
- モバイル、クラウドサービスの企画・開発・提供・運用
- クレジット決済システムの販売業務
- 金融業界に対する、ビジネスアウトソーシングサービス、ソフトウェアの運用管理(ソリューション事業本部 ビジネスシステム部)
ISMS(ISO27001)の適用範囲を決定する際の注意点
ISMS(ISO27001)の適用範囲を決定する際の注意点を解説します。
文書化し、適切に管理する
ISO27001の要求事項では、決定した適用範囲は文書化して適切に管理することが求められています。
その際、「適用範囲記述書」「適用範囲定義書」などの文書名で作成するか、ISMSマニュアルに適用範囲について記載することが一般的です。文書には、対象となる組織の名称や部門名、適用場所、業務内容、情報資産、情報システム・ネットワークについて記載します。
以下にISMS適用範囲の記載例を紹介しますので、参考にしてください。
- 事業的境界:〇〇システムの開発・設計
- 組織的境界:〇〇株式会社
- 場所的境界:東京本社
- 資産的境界:当社が保有するすべての情報資産・情報システム
- 技術的境界:情報システム・ネットワークについて記載もしくはネットワーク構成図を作成する
組織内外の課題を考慮する
ISO27001において適用範囲を定める際、組織内外の課題を考慮することが求められています。
その際、情報セキュリティ上の内部・外部課題は、自社で掲げている企業理念や経営方針、事業計画などと整合性が取れていることが必要です。
中小企業の中には組織の目的が不明瞭な場合も多いため、ISO27001を取得する際にトップマネジメントで明確化することが重要です。
ISMS(ISO27001)の適用範囲は限定すべき?
ISO27001では、適用範囲を組織が自由に決定できるため、限定することも可能です。
その場合には、「なぜその適用範囲にしたか」を説明できる合理的な理由が求められます。
例えば、「全社的に適用させるのは大変だから」という理由で部門認証することは難しいでしょう。
しかし、「事業が独立しており、一つのマネジメントシステムとして機能できるため」といった理由があれば部門認証が可能です。
「部門認証したいけど、合理的な理由として判断されるか不安」という場合には、プロのコンサルに相談してみることがおすすめです。
適用除外とは
ISMS(ISO27001)の適用範囲を決定したら、その適用範囲内においてはすべての要求事項を満たすことが必要です。
しかし、先ほどのように合理的な理由がある場合には適用除外することが可能です。例えば「要求事項に記載されている業務を行っていない」といった理由で、適用除外とするケースがあります。
適用除外が難しいケース
適用除外となるケースは組織によって異なるため、ここでは適用除外が難しいケースを紹介します。
一連の業務プロセスが複数の部門にまたがる場合
その業務プロセスに関わるすべての部門・部署を適用範囲とするべきであるため、適用除外が難しいケースです。
適用範囲にあるITインフラストラクチャを、除外したい事業や部門・部署が利用している場合
この場合、リスクマネジメントにおいて不適切となります。適用範囲にあるITインフラストラクチャ を利用する事業や部門・部署はすべて「適用範囲」に含めることが適切です。
「要求事項を満たすことが難しいが、合理的な理由に該当するか不安」という場合には、プロのコンサルに相談しましょう。
適用範囲を決定する上で、考慮すべきことは?
最後に、これまで解説した以外にも適用範囲に影響を与えるポイントを紹介します。適用範囲を検討する際の参考にしてください。
- セキュリティインシデントが発生した場合に損失の大きい事業・業務
- 主力となる製品やサービス
- セキュリティリスクの高いサービスや部門・部署
- 組織で保有する情報資産のうち、外部に漏洩すると問題となる価値ある情報を取り扱う部署・部門(例:製品技術情報、顧客情報、経営戦略情報、人事情報、個人情報など機密性の高い情報)
- 取引先から認証取得の要求がある事業や製品
- 新規顧客の開拓で対象となる事業や製品
- 脆弱性と脅威が潜んでいる可能のある情報資産
- 情報セキュリティ対策の実施具合
その他、適用範囲の事業エリアでは、認証取得するための業務の負荷増加や取得費用・管理コスト、業務への影響などについても考慮が必要です。効率よくISMSを運用し、継続的にセキュリティ改善に取り組み、期待する効果を得られるようISMSの推進活動を行います。
まとめ
この記事では、ISMS(27001)の適用範囲の概要や決め方、ポイントについて解説しました。
適用範囲の決定は、ISMSを構築・運用するうえで欠かせない事項です。組織内外の課題や利害関係者のニーズ・期待を明らかにしたうえで、適切な適用範囲を決定しましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい