• ISO27001を取得する前に情報セキュリティマネジメントシステムの適用範囲を定める必要がある
  • 適用範囲を一部の部署にのみ適用させた場合構築そのものに大きな手間がかからないが部署間を横断する業務が多い場合には円滑な業務ができなくなったりする
  • 会社単位で取得するのが良いとされているが、一部の事業所や部署のみで認証取得をして、あとから適用範囲拡大の申請をしていくこともある

ISO27001 を取得するまでの最初のステップとして適用範囲の決定をする必要があります。
情報セキュリティ マネジメントシステムISMS規格 は全社一括で 認証 取得しなくても、部署単位、事業所単位、施設単位に適用させることができるのです。

例えば部署単位の取得は、規模が限定されるため構築そのものに大きな手間はかからないが、部署間を横断する業務が多い場合には円滑な業務ができなくなるなどメリット・デメリットがあるため自社の現状にあった適用範囲を決定しましょう。

この記事ではISO27001の適用範囲の決定とそれによるメリットとデメリットについて解説していきます。

目次

ISO27001の適用範囲

ISO27001では、以下のように定められています。

事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。

このことから、ISMSを構築する前にそのISMSの適用範囲を事前に定める必要があります。ただし、なんでもかんでも会社の都合で分けて良いかというと、そうではありません。ISMSの適用範囲は、以下のような条件が考えられます。

  • 物理的に外部ネットワークと離れていること
  • ひとつの組織として成立していて、合理的に説明しうる境界をもっていること
  • 情報資産におけるセキュリティ要件が同等かまたは類似していること

つまり、情報セキュリティマネジメントシステムを分けるにあたって、合理的な理由があり、かつ明確にその他のネットワークと境界がある必要があるのです。

例えば、IT事業部のAさんにだけISO27001を適用させたいという場合には、AさんはIT事業部から独立していて、なおかつ異なるネットワークを使っていて…という必要があるのです。通常そのようなことは考えられませんよね?
また、そのような情報セキュリティマネジメントシステムは機能しないと思われます。

ですから通常は事業所単位、会社単位でISMSを適用させます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

適用範囲を部署単位にするメリット・デメリット

では、会社単位ではなく一部の部署にのみISMSを適用させようとすると、どのようなメリット・デメリットがあるのでしょうか?以下でチェックしていきましょう。

メリット

部署単位でISMSを適用させる場合の一番のメリットは規模が限定されるため、構築そのものに大きな手間がかからないということです。情報セキュリティマネジメントシステムを導入しようとすると、やはり既存の環境に少なからず影響が出てきます。

ISMSの認証を取得するにあたって、適用範囲を限定させるあるいは一部を除外してISMSを導入する企業の多くは、既存業務フローへの影響を懸念していることが多いです。

デメリット

ただし、部署間を横断する業務が多い場合には、逆にリスクを増やすことになってしまうこともあります。安易に適用範囲を限定してしまうと、ISMSの適用範囲とそうでない範囲(つまり他部署)との間で円滑な業務ができなくなったり、業務が煩雑化したりしてしまうこともあります。

また、ISMS認証が一部にしか適用されていないということは、取引先などの外部からの信用力の低下を招く可能性もあります。

せっかくISO27001を取得したのに、その認証の効果を思う存分に発揮できないということは大きなデメリットであるといえます。

ISMSの適用範囲は会社単位がキホン

上記のような理由から、ISMSは基本的には会社単位で取得するのが良いとされています。ただし、以下のような場合には、一部の事業所や部署のみでISMSを取得して、あとから適用範囲拡大の申請をしていくこともあります。

  • 事業所単位でキッパリ事業やネットワークが分けられている
  • 他の事業部とセキュリティ上クリティカルなコミュニケーションは行わない
  • 顧客満足に影響しない

例えば、同じ会社でも小売事業所とIT事業所があり、異なる複数の業種を営んでいる場合、全社単位でISMS認証を取得するメリットは少なくなります。全ての事業所で一度に取得を目指すと業務に負担がかかったり、足並みを揃えたりすることで本来の事業に影響が出たりすることがあるからです。

こういった場合は、ISMSの適用範囲を切り分けて翌年以降に適用範囲を拡大していくというやり方が適切であることもあります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

どのやり方が正しいということはない

さて、今回はISMSの適用範囲を分けることのメリット・デメリットについて解説してきましたが、「どのやり方が正しい」とか「適用範囲はこうでなくてはいけない」ということはありません。

それぞれの組織の現状に適したやり方で認証を取得するのが良いでしょう。——ただし、「認証を取得すること」が目的になってはいけません。適用範囲を決める場合でも、ISMSを構築する一番の目的は「情報セキュリティを強化する」であったり、「顧客満足」であったりするはずです。

この大目標を見失わないように、自社の現状にあった適用範囲を検討してみましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ