ISMS(ISO27001)の適用範囲とは?
ISMS(ISO27001)の取得に向けて、適応範囲を決定する必要があります。ISMSの認証は必ずしも組織全体を対象とするのではなく、特定の事業部や施設などに範囲を決められるためです。
ここでは適用範囲の概要や決めるうえで知っておきたいことについて触れています。
ISMS(ISO27001)の適用範囲の概要
ISO27001の要求事項(JIS Q 27001:2006規格要求事項)では「適用範囲内に保有されるすべての情報資産」を対象に、ISMSの構築を求めています。
たとえば、組織全体を適用範囲にすることもできますし、情報資産を扱う一部の事業所のみを対象として、認証を取得することも可能です。また、適応範囲を一部に限定して認証を取得をした場合、適応範囲を後から広げることもできます。
適用範囲を決定するにあたり、まず考えないといけないのが、「情報セキュリティ上のリスクが高い業務は何か」「情報セキュリティ上のトラブルが発生したときに損害を受ける情報とは何か」といった課題を明らかにすることです。それにより、ISMSの構築が必要とされる範囲を明確にしていきます。
ISMS(ISO27001)の適用範囲で決める5つの範囲
ISMS(ISO27001)の適用範囲は組織の判断で決定することができますが、会社都合で無条件に決めて良いわけではありません。ISMSの適応範囲を決めるには、主に次の5つを検討する必要があります。
事業的範囲
ISMS認証の対象となる事業や業務内容を明確にします。事業を行ううえでセキュリティ保護が必要な情報とはなにか、どのような情報セキュリティリスクがあるのかといったことを見極める作業が必要です。
組織的範囲
ISMSの対象になる組織を決めます。会社全体を範囲とすることもできますが、例えば社外秘の情報を扱う部署や担当者のみを対象とすることも可能です。
その場合、ここで定めた範囲外の人物は社内の人間であっても組織の範囲外の人として、社外の人間と同様に扱うといった対策が求められるようになります。
物理的範囲
ISMSの適用範囲となる事業を行う場所を決めます。特定の建物や施設、「事務室」や「コンピュータルーム」「壁やパーテーションで仕切られた作業場」といった境界を明確にして、レイアウト図 に示す必要があります。
ネットワーク的範囲
ISMSで利用するネットワークの領域を決定します。情報が流出や、ウイルスなどの驚異に晒される可能性がリスクに対して、制御可能な範囲を見極める必要があります。
情報資産の管理範囲
事業的範囲、組織的範囲、物理的範囲、ネットワーク的範囲外であった場合でも、ISMSの対象とするべき情報資産がないかどうかを明確にします。
たとえば物理的範囲にはない場所で管理している情報だからといって、自社の情報資産をリスクに晒しておくわけにはいかないからです。
適用範囲を決定する上で考慮すべきことは?
適用範囲を決定するには、「ISO27001規格の要求事項」が定める5つについて包括的に判断する必要があります。その他にも考慮すべきことがあるため、その内容を以下にリストアップしました。
- 組織を支える商品やサービスはなにか
- 情報セキュリティにおいてリスクの大きい事業・部門
- 組織が保有する情報資産のうち、情報漏洩による損害が多い、気密性の高い情報を取り扱っている部署はどこか
- 取引先から認証の取得を求められている、または認証を取得していると顧客獲得に有利となる製品やサービス
- 認証取得による担当者の負担増など、業務への影響
- 現状のセキュリティ対策は十分かどうか
- 一部の業務をアウトソーシングしている場合、外部関係組織の責任範囲を明確にする
適用範囲は部署単位でも定められる?
ISMSは会社一括単位ではなく、部署単位でも定めることができますが、次のようなメリットとデメリットがあります。
部署単位のメリットとは
ISMSの適用範囲を部署単位にすることのメリットとして、手間やコストを抑えられることが挙げられます。規模が限定されていれば構築の手間や費用も抑えられます。また、既存の業務内容に対する影響も小さくできます。
ISMSの導入によって作業環境が変わると、業務上の無理や無駄が生じてしまう可能性もああるでしょう。そのためISMSを導入する企業ではそうした影響を懸念して、適用範囲から一部部署を外したり限定したりするケースが多くあります。
部署単位のデメリット
適応範囲内の部署が孤立してしまい、会社内のやりとりがスムーズにできなくなる可能性があります。適応範囲内の部署と適応範囲外の部署との間でやり取りをする際に、情報セキュリティに関連する対応が違ってしまったり、複雑な手続きが必要になったりしてしまうからです。
また、外部からの印象も異なります。せっかくISMS認証を一部しか取得していないのと、会社全体で取得しているのとでは、取引先からの信頼度は大きく異なります。
ISMSの適用範囲は会社単位
適応範囲を決める際には、事業的、組織的、物理的、ネットワーク的、情報資産それぞれの視点から検討をするとともに、社内・社外のニーズや課題を考慮して決める必要があります。また、事業の実態を反映して、現実的な適応範囲を決めるようにしましょう。
たとえば組織的範囲には一つの部署や限られた担当者だけを適応範囲として、物理的範囲を定めた「作業室」一箇所に限定。さらに、ネットワークの範囲もそれに準じた領域とした場合、限られた場所で特定の担当者だけが会社から独立したネットワークを使って作業をすることになってしまうのです。
この条件ではISMSを守った状態での正常な仕事が難しく、現実的とはいえません。これは極端な例ではありますが、会社の業務内容や業態、状況に合わせて実際の作業を思い浮かべながら、運用可能かどうかも考えて適用範囲を決めるようにてください。
IT化が普及した現代において、あらゆる業務において情報資産を扱う場合や、事業のプロセスがIT部門を含む複数の部署にまたがることが多くなっています。そのため、ある部署を適用範囲から除外することは難しくなっており、会社単位でISMS(ISO27001)を取得するということがほとんどです。
まとめ
ISMS(ISO27001)の適用範囲について、条件や考慮すべきことなどを紹介してきました。認証範囲を部署単位で決めることのデメリットとメリット、そして会社単位で取ることが一般的であることなどについても紹介してきましたが、「このやり方が正しい」というものはありません。
似たような業種。業態の適応範囲の決め方を参考にすることはできても、会社の状況はそれぞれ違います。会社によって、組織によって、ふさわしい範囲の決め方は違っていて、だからこそ自社で範囲を決めるのは難しいのです。
自社決定が難しい場合には、専門知識をもったコンサル会社も存在しているので、相談してみるのもおすすめ。他社のケースを参考にするにしても、さまざまな業種・業態における多様なケースを見てきたコンサルを頼れば安心です。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。