ISMS(ISO27001)の適用範囲とは?
ISMS(ISO27001)の取得に向けて、適応範囲を決定する必要があります。ISMSの認証は必ずしも組織全体を対象とするのではなく、特定の事業部や施設などに範囲を決められるためです。
ここでは適用範囲の概要や決めるうえで知っておきたいことについて触れています。
ISMS(ISO27001)の適用範囲の概要
ISO27001の要求事項(JIS Q 27001:2006規格要求事項)では「適用範囲内に保有されるすべての情報資産」を対象に、ISMSの構築を求めています。
たとえば、組織全体を適用範囲にすることもできますし、情報資産を扱う一部の事業所のみを対象として、認証を取得することも可能です。また、適応範囲を一部に限定して認証を取得をした場合、適応範囲を後から広げることもできます。
適用範囲を決定するにあたり、まず考えないといけないのが、「情報セキュリティ上のリスクが高い業務は何か」「情報セキュリティ上のトラブルが発生したときに損害を受ける情報とは何か」といった課題を明らかにすることです。それにより、ISMSの構築が必要とされる範囲を明確にしていきます。
ISMS(ISO27001)の適用範囲で決める5つの範囲
ISMS(ISO27001)の適用範囲は組織の判断で決定することができますが、会社都合で無条件に決めて良いわけではありません。ISMSの適応範囲を決めるには、主に次の5つを検討する必要があります。
事業的範囲
ISMS認証の対象となる事業や業務内容を明確にします。事業を行ううえでセキュリティ保護が必要な情報とはなにか、どのような情報セキュリティリスクがあるのかといったことを見極める作業が必要です。
組織的範囲
ISMSの対象になる組織を決めます。会社全体を範囲とすることもできますが、例えば社外秘の情報を扱う部署や担当者のみを対象とすることも可能です。
その場合、ここで定めた範囲外の人物は社内の人間であっても組織の範囲外の人として、社外の人間と同様に扱うといった対策が求められるようになります。
物理的範囲
ISMSの適用範囲となる事業を行う場所を決めます。特定の建物や施設、「事務室」や「コンピュータルーム」「壁やパーテーションで仕切られた作業場」といった境界を明確にして、レイアウト図 に示す必要があります。
ネットワーク的範囲
ISMSで利用するネットワークの領域を決定します。情報が流出や、ウイルスなどの驚異に晒される可能性がリスクに対して、制御可能な範囲を見極める必要があります。
情報資産の管理範囲
事業的範囲、組織的範囲、物理的範囲、ネットワーク的範囲外であった場合でも、ISMSの対象とするべき情報資産がないかどうかを明確にします。
たとえば物理的範囲にはない場所で管理している情報だからといって、自社の情報資産をリスクに晒しておくわけにはいかないからです。
適用範囲を決定する上で考慮すべきことは?
適用範囲を決定するには、「ISO27001規格の要求事項」が定める5つについて包括的に判断する必要があります。その他にも考慮すべきことがあるため、その内容を以下にリストアップしました。
- 組織を支える商品やサービスはなにか
- 情報セキュリティにおいてリスクの大きい事業・部門
- 組織が保有する情報資産のうち、情報漏洩による損害が多い、気密性の高い情報を取り扱っている部署はどこか
- 取引先から認証の取得を求められている、または認証を取得していると顧客獲得に有利となる製品やサービス
- 認証取得による担当者の負担増など、業務への影響
- 現状のセキュリティ対策は十分かどうか
- 一部の業務をアウトソーシングしている場合、外部関係組織の責任範囲を明確にする
適用範囲は部署単位でも定められる?
ISMSは会社一括単位ではなく、部署単位でも定めることができますが、次のようなメリットとデメリットがあります。
部署単位のメリットとは
ISMSの適用範囲を部署単位にすることのメリットとして、手間やコストを抑えられることが挙げられます。規模が限定されていれば構築の手間や費用も抑えられます。また、既存の業務内容に対する影響も小さくできます。
ISMSの導入によって作業環境が変わると、業務上の無理や無駄が生じてしまう可能性もああるでしょう。そのためISMSを導入する企業ではそうした影響を懸念して、適用範囲から一部部署を外したり限定したりするケースが多くあります。
部署単位のデメリット
適応範囲内の部署が孤立してしまい、会社内のやりとりがスムーズにできなくなる可能性があります。適応範囲内の部署と適応範囲外の部署との間でやり取りをする際に、情報セキュリティに関連する対応が違ってしまったり、複雑な手続きが必要になったりしてしまうからです。
また、外部からの印象も異なります。せっかくISMS認証を一部しか取得していないのと、会社全体で取得しているのとでは、取引先からの信頼度は大きく異なります。
ISMSの適用範囲は会社単位
適応範囲を決める際には、事業的、組織的、物理的、ネットワーク的、情報資産それぞれの視点から検討をするとともに、社内・社外のニーズや課題を考慮して決める必要があります。また、事業の実態を反映して、現実的な適応範囲を決めるようにしましょう。
たとえば組織的範囲には一つの部署や限られた担当者だけを適応範囲として、物理的範囲を定めた「作業室」一箇所に限定。さらに、ネットワークの範囲もそれに準じた領域とした場合、限られた場所で特定の担当者だけが会社から独立したネットワークを使って作業をすることになってしまうのです。
この条件ではISMSを守った状態での正常な仕事が難しく、現実的とはいえません。これは極端な例ではありますが、会社の業務内容や業態、状況に合わせて実際の作業を思い浮かべながら、運用可能かどうかも考えて適用範囲を決めるようにてください。
IT化が普及した現代において、あらゆる業務において情報資産を扱う場合や、事業のプロセスがIT部門を含む複数の部署にまたがることが多くなっています。そのため、ある部署を適用範囲から除外することは難しくなっており、会社単位でISMS(ISO27001)を取得するということがほとんどです。
まとめ
ISMS(ISO27001)の適用範囲について、条件や考慮すべきことなどを紹介してきました。認証範囲を部署単位で決めることのデメリットとメリット、そして会社単位で取ることが一般的であることなどについても紹介してきましたが、「このやり方が正しい」というものはありません。
似たような業種。業態の適応範囲の決め方を参考にすることはできても、会社の状況はそれぞれ違います。会社によって、組織によって、ふさわしい範囲の決め方は違っていて、だからこそ自社で範囲を決めるのは難しいのです。
自社決定が難しい場合には、専門知識をもったコンサル会社も存在しているので、相談してみるのもおすすめ。他社のケースを参考にするにしても、さまざまな業種・業態における多様なケースを見てきたコンサルを頼れば安心です。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。