• ISO27001取得に向けて適用範囲の決定は第一にすること
  • 文書化はISO27001取得のために欠かせないため適用範囲決定後は、マニュアル等を作成する必要がある
  • 自社に沿った文書を作成することでその後の運用に無駄が発生しにくく、有効なマネジメントシステムを構築することが可能

ISO27001 とは国際的に定められた情報セキュリティマネジメントシステムISMS )に関する 規格 です。規格の取得に向けて適用範囲の決定は最初にしなければならないことです。

各企業の事情によって適用範囲の決定は一様でなく、組織の外部及び内部の課題や、利害関係者のニーズ及び期待を明確にし、セキュリティ対策が効果的に作用するよう適用範囲を決定しましょう。

この記事では情報セキュリティの適用範囲の決定について解説していきます。

国際的に定められた情報リスクに対応する規格

ISO 27001とは国際的に定められた情報リスクに対応するための規格です。そもそもISOとは何なのかというと、世界各国140ヶ国以上が参加しているInternational Organization for Standardization=国際標準化機構の略称になります。

ISO27001の適用範囲と要求事項についてISOが出版している国際規格そのものもISOと呼んでいるのです。ISOでは情報セキュリティマネジメントシステムであるISO27001の他、環境 マネジメントシステムのISO14001 など、様々なマネジメントシステムの企画を作るとともに、 認証 を与えることを使命としています。

関連記事:【初心者向け】ISO27001とは?取得メリットや手順・費用について解説
関連記事:ISOとは?ISOをわかりやすく解説【図解】
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

適用範囲の決定

ISO27001取得に向けて第一にしなくてはいけないことは適用範囲の定義です。企業全体としてだけではなく、施設単位、事業単位を適用範囲とすることも可能になっています。たとえば印刷業ならば印刷工場だけを適用範囲とすることもできるのです。

適用範囲を決定するにあたっては、まず、組織の外部及び内部の課題や、利害関係者のニーズ及び期待を明確にし、もっともセキュリティ対策を効果的に施すことができるように適用範囲を決定しましょう。適用範囲を決めるにはどこを「境界」とするかがポイントです。具体的には次のような観点から考察すると良いでしょう。

事業的範囲

まず業務の内容を明確にして、情報の活用範囲を見極めます。

組織的範囲

対象とする組織を明確にしましょう。たとえ同じ社内の人でも適用範囲外の人は外部の人同様に扱うよう注意してください。

物理的範囲

対象となる社屋、施設、部屋等をはっきりさせ、壁・扉・パーティション等で物理的な境界を作ります。

ネットワーク的範囲

対象とするネットワークの範囲を明確にして、ルーター等を情報流入出の制御をする機器として使用します。

情報資産の管理範囲

情報資産を外部に保管している場合も適用範囲とすることを忘れないようにしましょう。

関連記事:ISO27001の適用範囲は限定すべきか?

文書にして明確にする

以上のように、担当部門、事業を行っている場所、利用しているネットワークの範囲を決定したり、社屋・施設・部屋などの物理的な制限からその中で行う事業・組織・ネットワークの範囲を決めたり、各企業の事情によって適用範囲の決定の仕方は一様ではありません。しかし、一般的に事業内容、施設名称などで好評されることが多いようです。
このようにしてISO27001の適用範囲が決まった後は「マニュアル」等に文書化する必要があります。文書化はISO27001取得のために欠かせない要求事項でもあり、認証を得るためのカギになるともいえます。
また、ISO27001の附属書にて要求されている管理策の適用範囲も決定する必要があります。ここで適用すると決定したものを「適用宣言書」として文書化する必要があります。
適用範囲、適用宣言書を文書化することは、ISO27001に準じたマネジメントシステムを構築する上で一番最初にやるべきことです。

適用範囲を設定する際に「この範囲にしたい」という理想に反して、境界が明確になっていないこともしばしばあります。たとえば、範囲としたい情報システム部門に扉等の物理的な仕切りがないというケースもあります。

やはり、物理的な境界がないということは様々なリスクがあるので、これを機会にオフィスのデザインを見直してみましょう。これらの対応をすることは、単にISO27001取得のためだけではなく、企業の情報セキュリティに関する意識と実態を明らかにして、より強固なものに再構築するためのきっかけにもできるのです。

これまで「なんとなく」の慣例ですませてきたことの中にも、実は情報セキュリティ上著しい問題があるケースは少なくありません。これまで、たまたま個人情報の漏えい等がなかったということもあるのです。この機会にセキュリティホールを洗いざらい見直し、万全のマネジメントを心がけてみてはいかがでしょうか。
ISO27001を取得するためには様々な文書を作成しなくてはならず、なかでも適用宣言書の作成には時間も労力も費やさなければいけません。しかし、この文書を自社に沿ったものとして作成することで、その後の運用に無駄が発生しにくく、有効なマネジメントシステムを構築することが可能となります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ