ISO27001は会社単位で取得するのか?部署単位で取得するのか?

投稿日:

ISOプロ担当者

最終更新日: 2019年11月07日

planning-620299_960_720 (1)

ISO27001の取得を行う際には、一番初めにやることがあります。——それは、ISO27001規格で構築するISMSの適用範囲を決定することです。多くのISMS認証では、全社一括で認証を取得しなくても、部署単位、事業所単位、施設単位に適用させることができます。

これは組織の事情によって異なるでしょうが、やはり全社一括で取得する場合と部署単位で取得する場合ではメリット・デメリットがあるため、注意が必要です。

今回は、そのメリット・デメリットについてあくまで一般論ではありますが、ご紹介していきたいと思いますので、ISO27001をこれから取得しようと考えている方は是非参考にしてください。

ISO27001の適用範囲

ISO27001では、以下のように定められています。

事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。

このことから、ISMSを構築する前にそのISMSの適用範囲を事前に定める必要があります。ただし、なんでもかんでも会社の都合で分けて良いかというと、そうではありません。ISMSの適用範囲は、以下のような条件が考えられます。

  • 物理的に外部ネットワークと離れていること
  • ひとつの組織として成立していて、合理的に説明しうる境界をもっていること
  • 情報資産におけるセキュリティ要件が同等かまたは類似していること

つまり、情報セキュリティマネジメントシステムを分けるにあたって、合理的な理由があり、かつ明確にその他のネットワークと境界がある必要があるのです。

例えば、IT事業部のAさんにだけISO27001を適用させたいという場合には、AさんはIT事業部から独立していて、なおかつ異なるネットワークを使っていて…という必要があるのです。通常そのようなことは考えられませんよね?
また、そのような情報セキュリティマネジメントシステムは機能しないと思われます。

ですから通常は事業所単位、会社単位でISMSを適用させます。

適用範囲を部署単位にするメリット・デメリット

では、会社単位ではなく一部の部署にのみISMSを適用させようとすると、どのようなメリット・デメリットがあるのでしょうか?以下でチェックしていきましょう。

メリット

部署単位でISMSを適用させる場合の一番のメリットは規模が限定されるため、構築そのものに大きな手間がかからないということです。情報セキュリティマネジメントシステムを導入しようとすると、やはり既存の環境に少なからず影響が出てきます。

ISMSの認証を取得するにあたって、適用範囲を限定させるあるいは一部を除外してISMSを導入する企業の多くは、既存業務フローへの影響を懸念していることが多いです。

デメリット

ただし、部署間を横断する業務が多い場合には、逆にリスクを増やすことになってしまうこともあります。安易に適用範囲を限定してしまうと、ISMSの適用範囲とそうでない範囲(つまり他部署)との間で円滑な業務ができなくなったり、業務が煩雑化したりしてしまうこともあります。

また、ISMS認証が一部にしか適用されていないということは、取引先などの外部からの信用力の低下を招く可能性もあります。

せっかくISO27001を取得したのに、その認証の効果を思う存分に発揮できないということは大きなデメリットであるといえます。

ISMSの適用範囲は会社単位がキホン

上記のような理由から、ISMSは基本的には会社単位で取得するのが良いとされています。ただし、以下のような場合には、一部の事業所や部署のみでISMSを取得して、あとから適用範囲拡大の申請をしていくこともあります。

  • 事業所単位でキッパリ事業やネットワークが分けられている
  • 他の事業部とセキュリティ上クリティカルなコミュニケーションは行わない
  • 顧客満足に影響しない

例えば、同じ会社でも小売事業所とIT事業所があり、異なる複数の業種を営んでいる場合、全社単位でISMS認証を取得するメリットは少なくなります。全ての事業所で一度に取得を目指すと業務に負担がかかったり、足並みを揃えたりすることで本来の事業に影響が出たりすることがあるからです。

こういった場合は、ISMSの適用範囲を切り分けて翌年以降に適用範囲を拡大していくというやり方が適切であることもあります。

どのやり方が正しいということはない

さて、今回はISMSの適用範囲を分けることのメリット・デメリットについて解説してきましたが、「どのやり方が正しい」とか「適用範囲はこうでなくてはいけない」ということはありません。

それぞれの組織の現状に適したやり方で認証を取得するのが良いでしょう。——ただし、「認証を取得すること」が目的になってはいけません。適用範囲を決める場合でも、ISMSを構築する一番の目的は「情報セキュリティを強化する」であったり、「顧客満足」であったりするはずです。

この大目標を見失わないように、自社の現状にあった適用範囲を検討してみましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1 text_contents05
2 ssl
3 EYE-1
4 checklist-2470307_960_720 (1)
5 無題5
6 photo-1509803874385-db7c23652552 (1)
7 03296b0dc8f905069a76056b80a28c26_s
8 00000

関連するおすすめ記事