【ISO27001】守るべき情報の範囲とは?適用範囲の決定

監修残田康平
著者:ISOプロ担当者
投稿日:
更新日:2020年06月23日

  • ISO27001取得に向けて適用範囲の決定は第一にすること
  • 文書化はISO27001取得のために欠かせないため適用範囲決定後は、マニュアル等を作成する必要がある
  • 自社に沿った文書を作成することでその後の運用に無駄が発生しにくく、有効なマネジメントシステムを構築することが可能

ISO27001とは国際的に定められた情報セキュリティマネジメントシステム (ISMS)に関する規格です。規格の取得に向けて適用範囲の決定は最初にしなければならないことです。

各企業の事情によって適用範囲の決定は一様でなく、組織の外部及び内部の課題や、利害関係者のニーズ及び期待を明確にし、セキュリティ対策が効果的に作用するよう適用範囲を決定しましょう。

この記事では情報セキュリティの適用範囲の決定について解説していきます。

国際的に定められた情報リスクに対応する規格

ISO27001とは国際的に定められた情報リスクに対応するための規格です。そもそもISOとは何なのかというと、世界各国140ヶ国以上が参加しているInternational Organization for Standardization=国際標準化機構の略称になります。

ISO27001の適用範囲と要求事項についてISOが出版している国際規格そのものもISOと呼んでいるのです。ISOでは情報セキュリティマネジメントシステムであるISO27001の他、環境 マネジメントシステムのISO14001 など、様々なマネジメントシステムの企画を作るとともに、 認証 を与えることを使命としています。

適用範囲の決定

ISO27001取得に向けて第一にしなくてはいけないことは適用範囲の定義です。企業全体としてだけではなく、施設単位、事業単位を適用範囲とすることも可能になっています。たとえば印刷業ならば印刷工場だけを適用範囲とすることもできるのです。

適用範囲を決定するにあたっては、まず、組織の外部及び内部の課題や、利害関係者のニーズ及び期待を明確にし、もっともセキュリティ対策を効果的に施すことができるように適用範囲を決定しましょう。適用範囲を決めるにはどこを「境界」とするかがポイントです。具体的には次のような観点から考察すると良いでしょう。

・事業的範囲
まず業務の内容を明確にして、情報の活用範囲を見極めます。

・組織的範囲
対象とする組織を明確にしましょう。たとえ同じ社内の人でも適用範囲外の人は外部の人同様に扱うよう注意してください。

・物理的範囲
対象となる社屋、施設、部屋等をはっきりさせ、壁・扉・パーティション等で物理的な境界を作ります。

・ネットワーク的範囲
対象とするネットワークの範囲を明確にして、ルーター等を情報流入出の制御をする機器として使用します。

・情報資産の管理範囲
情報資産を外部に保管している場合も適用範囲とすることを忘れないようにしましょう。

文書にして明確にする

以上のように、担当部門、事業を行っている場所、利用しているネットワークの範囲を決定したり、社屋・施設・部屋などの物理的な制限からその中で行う事業・組織・ネットワークの範囲を決めたり、各企業の事情によって適用範囲の決定の仕方は一様ではありません。しかし、一般的に事業内容、施設名称などで好評されることが多いようです。

このようにしてISO27001の適用範囲が決まった後は「マニュアル」等に文書化する必要があります。文書化はISO27001取得のために欠かせない要求事項でもあり、認証を得るためのカギになるともいえます。
また、ISO27001の附属書にて要求されている管理策の適用範囲も決定する必要があります。ここで適用すると決定したものを「適用宣言書」として文書化する必要があります。
適用範囲、適用宣言書を文書化することは、ISO27001に準じたマネジメントシステムを構築する上で一番最初にやるべきことです。

適用範囲を設定する際に「この範囲にしたい」という理想に反して、境界が明確になっていないこともしばしばあります。たとえば、範囲としたい情報システム部門に扉等の物理的な仕切りがないというケースもあります。

やはり、物理的な境界がないということは様々なリスクがあるので、これを機会にオフィスのデザインを見直してみましょう。これらの対応をすることは、単にISO27001取得のためだけではなく、企業の情報セキュリティに関する意識と実態を明らかにして、より強固なものに再構築するためのきっかけにもできるのです。

これまで「なんとなく」の慣例ですませてきたことの中にも、実は情報セキュリティ上著しい問題があるケースは少なくありません。これまで、たまたま個人情報の漏えい等がなかったということもあるのです。この機会にセキュリティホールを洗いざらい見直し、万全のマネジメントを心がけてみてはいかがでしょうか。
ISO27001を取得するためには様々な文書を作成しなくてはならず、なかでも適用宣言書の作成には時間も労力も費やさなければいけません。しかし、この文書を自社に沿ったものとして作成することで、その後の運用に無駄が発生しにくく、有効なマネジメントシステムを構築することが可能となります。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

この記事の監修者情報
残田康平 ( ISOコンサルタント )
約5年間ISOコンサルティング会社で累計200社以上のISO構築に携わってきました。現在はISOプロのISOコンサルタントとして活動中。企業の得意・不得意を引き出しつつ、自社にピッタリなISOを構築することが得意です。これからISOに携わる人々にわかりやすい言葉で情報発信をしています。
ISO27001入門

【ISO27001入門】規格の詳細から要求事項・取得のノウハ…

ISO取得・運用ガイド

ISOを初めて取得する方や運用中の方のお悩みを基礎知識から実際の取得・構築・運用・継続や更新についてステップ形式で解説していきます。気になる費用などの情報も満載です。

こんな方に読んでほしい

  • ISOを初めて取得する方
  • すでにISO運用中の方

自社取得、自社運用、アウトソーシングをするための基礎知識や流れをご説明します。

インタビュー

タレント揃い!「人」にこだわるIT企業のISO導入成功の鍵

ISOプロ講座 HACCPプロ講座 HACCPセミナー マンガで分かるISOプロ お電話での問い合わせ コンサルタント募集
WEB相談