ISO・Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISO・Pマーク(プライバシーマーク)認証お役立ちコラム

ISO27001:4.3項:情報セキュリティマネジメントシステムの適用範囲の決定

2019年6月14日

Iso27001とは?

iso27001とは、国際的に定められた情報を守るための方式の基準規格です。

そもそものisoが何かというと、これはInternational Organization for Standardization、国際標準化機構と呼ばれるものの略で、世界各国、140カ国以上の国々が加盟している、本拠地をジュネーブとする組織です。

この国際的な組織は、iso27001のほかにも、iso9001や環境マネジメントシステムと称されるiso14001など、様々な規格を創造し制定、認証している組織なのです。

iso27001は今やどの組織・どんな業種でも必要だ、とは言われてもどういうものなのか、何をするればよいのか、よく分からないという方も多くいらっしゃるでしょう。

情報処理の発展が目まぐるしく起こった昨今では、情報処理サービス業だけに留まらず情報への安全対策は重要です。

組織が持つ様々な情報資産、監査証跡やデータファイル、手順書やシステムソフトウェア、開発用ツールなどのソフトウェア資産、他、無形資産やサービス資産、物理的資産など、これらのものを、影響度や様々なものを基準に、その危険性の度合いを評価します。

その後、その評価がリスクが高い、とされたものに、また様々な角度からセキュリティ万全となるよう、対策が講じられ、それを実行しちゃんと管理出来ていくようにするのです。

全くの危険性皆無、というところまで持っていくのには様々なコストなどもかかるため、程よく組織に害が及ばなくさせる対策を生み出し、管理していくのがiso27001の目的です。

4.3 情報セキュリティマネジメントシステムの適用範囲の決定

4.3 情報セキュリティマネジメントシステムの適用範囲の決定

組織は,ISMS の適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。
この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。

a) 1 に規定する外部及び内部の課題
b) 2 に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係

ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない

【解説】

組織は,ISMSの適用範囲を定めるためにあたって,その境界と適用可能性を決定しなさい。
この適用範囲を決定するとき,組織は,次のことを考慮しなさい。

a) 4.1 に規定する外部及び内部の課題
b) 4.2 に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間の接点(インタフェース)及び依存関係。

つまり、自社と他社の責任分担や守備範囲、依存関係を明確にすることを意味している。

ISMSの適用範囲は、文書にして確認できる状態にしなさい。つまり、適用範囲を文書にして明確にしておきなさいという事。

では、もう一つ規格1項「適用範囲」についてご説明していきます。

適用範囲について

この規格は、組織の状況の下で、ISMSを確立し、実施し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を、次に示す。

ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

ISO(アイエスオー)27001では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。

ISO(アイエスオー)は適用範囲を選ぶことができます。

例えば、20工場の拠点を持っている会社があり、各工場では違う製品、違う顧客、違った業務フローで業務が運営されています。そんな所で1つのルールを作って運用なんてできませんよね。その為、ISO(アイエス―オー)では各拠点、各部署、各製品での認証が可能となります。

上記のように、適用する範囲に大きな違いがございます。

取得を検討している場合は、どちらの情報を多く会社が保持しているか、又は顧客が個人・法人どちらが多いか、どちらの認証を顧客から要求されているかにもよって変わってくるかと思います。

最近は、ISO(アイエスオー)9001とISO(アイエスオー)14001の2015年版への規格改正等大きな話題となっていますが、ISO(アイエスオー)27001は2年前の2013年に改正を行っている。

ISO(アイエスオー)27001の規格目次とISO(アイエスオー)9001、ISO(アイエスオー)14001の規格目次をみて頂ければ気づくかもしれないですが、大枠の流れは同じである。

その為、ISO(アイエスオー)9001、ISO(アイエスオー)14001、ISO(アイエスオー)27001の統合も今後はしやすいようになっていくかもしれませんね。

\ 便利なWEBお問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISO・Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。