ISO27001の適用範囲と要求事項について

EYE-1

最近、印刷業でもISO27001を取得する企業が増えているそうです。もちろん、これがなければ印刷業を営めないというものではありません。
しかし、企業の将来的な発展を考えれば、一日も早く取得しておくことが正解ともいわれています。いったいISO27001の適用範囲や要求事項はどのようになっているのでしょうか。適用範囲や要求事項によって浮き彫りにできる、その実態に迫ります。

国際的に定められた情報を守る

ISO27001とは国際的に定められた情報を守るための規格です。そもそもISOとは何なのかというと、世界各国140ヶ国以上が参加しているInternational Organization for Standardization=国際標準化機構の略称になります。

ISO27001の適用範囲と要求事項についてISOが出版している国際規格そのものもISOと読んでいるのです。ISOではセキュリティマネジメントシステムであるISO27001の他、環境マネジメントシステムのISO14001 など、様々なマネジメントシステムの企画を作るとともに、認証を与えることを使命としています。

適用範囲の決定

ISO27001取得に向けて第一にしなくてはいけないことは適用範囲の定義です。企業全体としてだけではなく、施設単位、事業単位を適用範囲とすることも可能になっています。たとえば印刷業ならば印刷工場だけを適用範囲とすることもできるのです。

適用範囲を決定するにあたっては、まず、保護しなければいけない情報は何なのかを再確認し、もっともセキュリティ対策を効果的に施すことができるように適用範囲を決定しましょう。適用範囲を決めるにはどこを「境界」とするかがポイントです。具体的には次のような観点から考察すると良いでしょう。


・事業的範囲
まず業務の内容を明確にして、情報の活用範囲を見極めます。

・組織的範囲
対象とする組織を明確にしましょう。たとえ同じ社内の人でも適用範囲外の人は外部の人同様に扱うよう注意してください。

・物理的範囲
対象となる社屋、施設、部屋等をはっきりさせ、壁・扉・パーティション等で物理的な境界を作ります。

・ネットワーク的範囲
対象とするネットワークの範囲を明確にして、ルーター等を情報流入出の制御をする機器として使用します。

・情報資産の管理範囲
情報資産を外部に保管している場合も適用範囲とすることを忘れないようにしましょう。

文書にして明確にする

以上のように、担当部門、事業を行っている場所、利用しているネットワークの範囲を決定したり、社屋・施設・部屋などの物理的な制限からその中で行う事業・組織・ネットワークの範囲を決めたり、各企業の事情によって適用範囲の決定の仕方は一様ではありません。しかし、一般的に事業内容、施設名称などで好評されることが多いようです。

このようにしてISO27001の適用範囲が決まった後は「適用範囲定義書」として明確に文書化することになります。文書化はISO27001取得のために欠かせない要求事項でもあり、認証を得るためのカギになるともいえます。

この適用範囲を定義した文書は適用範囲定義書と呼ばれています。認証団体の一つである日本情報処理開発協会の資料でも、委託先を選定する際に適用にはこの定義書を確認することをすすめているなど、単に認証を得るためだけではなく、その後のビジネスにも影響するものなので細心の注意を払って作成するようにしましょう。

適用範囲定義書は委託元の要求に応じて提出する可能性があるということを念頭に起き、社外秘に関する記載は避けるようにしなければいけません。詳細な社屋のレイアウト、ネットワーク構成図までを書き込むことのないようにしてください。詳細に関しては別資料を作成して社外秘とし、この定義書と紐づけるようにしておくことをおすすめします。

適用範囲を設定する際に「この範囲にしたい」という理想に反して、境界が明確になっていないこともしばしばあります。たとえば、範囲としたい情報システム部門に扉等の物理的な仕切りがないというケースもあります。

やはり、物理的な境界がないということは様々なリスクがあるので、これを機会にオフィスのデザインを見直してみましょう。この定義書を作るというのは、単にISO27001取得のためだけではなく、企業の情報セキュリティに関する意識と実態を明らかにして、より強固なものに再構築するためのきっかけにもできるのです。

これまで「なんとなく」の慣例ですませてきたことの中にも、実は情報セキュリティ上著しい問題があるケースは少なくありません。これまで、たまたま個人情報の漏えい等がなかったということもあるのです。この機会にセキュリティホールを洗いざらい見直し、万全のマネジメントを心がけてみてはいかがでしょうか。

ISO27001を取得するためには様々な文書を提出しなくてはならず、なかでも適用範囲定義書の作成には時間も労力も費やさなければいけません。しかし、その後に委託先への営業資料となることもありますし、企業のさらなる発展を望むのであればしっかりと作っておきたいところです。情報セキュリティを見直すきっかけとしてもおすすめです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事