ISO27001の適用範囲と要求事項について

投稿日:

ISOプロ担当者

最終更新日: 2020年03月20日

最近、印刷業でもISO27001を取得する企業が増えているそうです。もちろん、これがなければ印刷業を営めないというものではありません。

しかし、企業の将来的な発展を考えれば、一日も早く取得しておくことが正解ともいわれています。いったいISO27001の適用範囲や要求事項はどのようになっているのでしょうか。適用範囲や要求事項によって浮き彫りにできる、その実態に迫ります。

国際的に定められた情報リスクに対応する規格

ISO27001とは国際的に定められた情報リスクに対応するための規格です。そもそもISOとは何なのかというと、世界各国140ヶ国以上が参加しているInternational Organization for Standardization=国際標準化機構の略称になります。

ISO27001の適用範囲と要求事項についてISOが出版している国際規格そのものもISOと呼んでいるのです。ISOでは情報セキュリティマネジメントシステムであるISO27001の他、環境マネジメントシステムのISO14001 など、様々なマネジメントシステムの企画を作るとともに、認証を与えることを使命としています。

適用範囲の決定

ISO27001取得に向けて第一にしなくてはいけないことは適用範囲の定義です。企業全体としてだけではなく、施設単位、事業単位を適用範囲とすることも可能になっています。たとえば印刷業ならば印刷工場だけを適用範囲とすることもできるのです。

適用範囲を決定するにあたっては、まず、組織の外部及び内部の課題や、利害関係者のニーズ及び期待を明確にし、もっともセキュリティ対策を効果的に施すことができるように適用範囲を決定しましょう。適用範囲を決めるにはどこを「境界」とするかがポイントです。具体的には次のような観点から考察すると良いでしょう。

・事業的範囲
まず業務の内容を明確にして、情報の活用範囲を見極めます。

・組織的範囲
対象とする組織を明確にしましょう。たとえ同じ社内の人でも適用範囲外の人は外部の人同様に扱うよう注意してください。

・物理的範囲
対象となる社屋、施設、部屋等をはっきりさせ、壁・扉・パーティション等で物理的な境界を作ります。

・ネットワーク的範囲
対象とするネットワークの範囲を明確にして、ルーター等を情報流入出の制御をする機器として使用します。

・情報資産の管理範囲
情報資産を外部に保管している場合も適用範囲とすることを忘れないようにしましょう。

文書にして明確にする

以上のように、担当部門、事業を行っている場所、利用しているネットワークの範囲を決定したり、社屋・施設・部屋などの物理的な制限からその中で行う事業・組織・ネットワークの範囲を決めたり、各企業の事情によって適用範囲の決定の仕方は一様ではありません。しかし、一般的に事業内容、施設名称などで好評されることが多いようです。

このようにしてISO27001の適用範囲が決まった後は「マニュアル」等に文書化する必要があります。文書化はISO27001取得のために欠かせない要求事項でもあり、認証を得るためのカギになるともいえます。
また、ISO27001の附属書にて要求されている管理策の適用範囲も決定する必要があります。ここで適用すると決定したものを「適用宣言書」として文書化する必要があります。
適用範囲、適用宣言書を文書化することは、ISO27001に準じたマネジメントシステムを構築する上で一番最初にやるべきことです。

適用範囲を設定する際に「この範囲にしたい」という理想に反して、境界が明確になっていないこともしばしばあります。たとえば、範囲としたい情報システム部門に扉等の物理的な仕切りがないというケースもあります。

やはり、物理的な境界がないということは様々なリスクがあるので、これを機会にオフィスのデザインを見直してみましょう。これらの対応をすることは、単にISO27001取得のためだけではなく、企業の情報セキュリティに関する意識と実態を明らかにして、より強固なものに再構築するためのきっかけにもできるのです。

これまで「なんとなく」の慣例ですませてきたことの中にも、実は情報セキュリティ上著しい問題があるケースは少なくありません。これまで、たまたま個人情報の漏えい等がなかったということもあるのです。この機会にセキュリティホールを洗いざらい見直し、万全のマネジメントを心がけてみてはいかがでしょうか。
ISO27001を取得するためには様々な文書を作成しなくてはならず、なかでも適用宣言書の作成には時間も労力も費やさなければいけません。しかし、この文書を自社に沿ったものとして作成することで、その後の運用に無駄が発生しにくく、有効なマネジメントシステムを構築することが可能となります。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1
2
3
4
5
6
7
8

ISMSとは?図解で易しく解説

2019年10月29日

1,451 Views

関連するおすすめ記事

ISOプロ講座
HACCPプロ講座