2023年7月26日
ISMSの適用範囲とは、 規格要求と自社のルールを比較して採否を決定し、対象範囲を決めたものです。適用範囲を決めるにはサービス名など、どんな事業をしている会社か分かるような内容にしなければなりません。反対に、当てはまらない事項があった場合は、「適用除外とする」と明記します。
目次
- 1.ISMSの適用範囲について
- ⑴適用範囲の定義について
- ⑵ISO27001の規格要求事項とは
- 2.ISMSの適用範囲はいつ決めるべきか
- 3.ISMS適用範囲の「業務内容」
- ⑴「業務内容」を決めるポイント
- ⑵ISMS適用範囲の実例
- ⑶注意点
- 4.ISMS適用範囲の「対象部門」と「拠点」
- ⑴「対象部門」「拠点」を決めるポイント
- ⑵ISMS適用範囲
- 5.適用範囲は限定したほうが良いのか
- ⑴適用範囲の限定とは
- ⑵適用除外とは
- ⑶適用除外が難しいケース
- 6.コンサル現場で実際に適用範囲についてよくある質問
- ⑴他の企業はどんな内容ですか
- ⑵登記上の文言と合わせた方が良いですか
- ⑶どこまでの部署を該当させれば良いですか
- ⑷HPの会社概要と合わせた方が良いですか
- ⑸実際に行っていない業務も念のため、該当させた方が良いですか
- まとめ
1.ISMSの適用範囲について
⑴適用範囲の定義について
ISMSの適用範囲は、「事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。」と定められています。
適用範囲は事業所名や部署名及び住所で明示されます。
ISMS取得企業の適用範囲は、以下で公開されています。
ISMS認証取得組織検索(外部リンク)
⑵ISO27001の規格要求事項とは
ISO27001の要求事項は、例えば、社内で扱ったり管理する情報、社外に持ち出す情報など、色々な場面での情報セキュリティに関する方針を決めたり、内部監査を行うルールを定めています。
規格要求事項の大きな流れは「構築」→「運用」→「改善」(繰り返し)です。
2.ISMSの適用範囲はいつ決めるべきか
ISO27001の新規取得時においては、マニュアル等を作成する前に適用範囲を決めます。
始めにISO27001の影響を及ぼす範囲を定めてから取得に向けて準備を進めます。
3.ISMS適用範囲の「業務内容」
⑴「業務内容」を決めるポイント
下記2点が大きなポイントとなります。
- できるだけ幅広い表現にすること
- 実施していない業務を含めないこと
例えば、①に不備がある場合は拡大審査といった審査を追加で実施する必要があります。
拡大審査とは、適用範囲を後から拡大させる際に必要な審査で、追加費用が発生します。
また、②に該当する場合は、審査員より必要の無い質問を受ける場合や、ときには不適合が発生する恐れがあります。実態とISMSの運用を整合させることが必要になりますので、適用範囲を決める際は注意が必要です。
⑵ISMS適用範囲の実例
ISMS適用範囲の例を挙げます。
(実例)①コンピュータソフトウエアの設計・開発及び販売
コンピュータ及び周辺機器の販売
コンピュータソフトの技術者の派遣業務
コンピュータシステムに関する企画・サポート
(実例)②ウェブサイトの設計・制作・保守
システムの設計・開発・保守
サーバーの設計・構築・保守
ネットワークの設計・構築・保守 ITに関連する企画・コンサルティング
人材派遣
ISMS取得企業の適用範囲は、以下で調べることが可能です。
ISMS認証取得組織検索(外部リンク)
⑶注意点
①やってない業務は含めないこと
「やっていない業務」を含めることによって、ルールと実態が整合していないと審査員に判断される可能性があります。そうなった場合は、不適合が発生し是正対応を求められます。
②曖昧な表現は使用しないこと
「曖昧な表現」を使用することにより、審査時に広義的に解釈されることがあります。
そうなった場合、想定していた質問等から外れ、スムーズに審査が進まないケースもあるため、注意が必要です。
4.ISMS適用範囲の「対象部門」と「拠点」
⑴「対象部門」「拠点」を決めるポイント
組織内の「課題」と「利害関係者のニーズ・期待」を把握できれば、必然的に、組織が重点的にセキュリティ対策を行う必要がある業務や部署が見えます。そこを対象部門へ追加します。
例えば「利害関係者のニーズ・期待」とは、ISO27001の取得要望等が挙げられます。
⑵ISMS適用範囲
ISMS適用範囲の例を挙げます。
対象部門 E社
管理部
営業部
DX推進事業部
拠点 本社
対象部門 S社
ITソリューション部
ERP部
管理本部
拠点 本社
東京支社
※対象部門及び拠点を決める際は、適用範囲と連動させることが重要となります。
5.適用範囲は限定したほうが良いのか
⑴適用範囲の限定とは
ISO27001を取得するに当たり、取引先の要望等により適用範囲を自由に決めることができます。
合理的な根拠なく、「取得が容易だから、全社を適用範囲にすると面倒だから。」などという理由で適用範囲を決定することはできません。
⑵適用除外とは
ISO27001は各項番によって要求事項が構成されています。
適用除外することにより当該項番のルールが適用されない状態となります。
項番に対応する業務を行っていない等の理由が適用除外となります。
⑶適用除外が難しいケース
場合によっては適用除外が可能とはいえ、基本は全て適用となります。
先に述べたように合理的な理由がある場合のみ適用除外が可能です。
項番に該当しているにも関わらず「審査が楽になるから。」と言った理由で適用除外することは審査時に不適合が発生する可能性があります。
該当する項番に対して、どのような業務が当てはまるかのかを洗い出す必要があります。
6.コンサル現場で実際に適用範囲についてよくある質問
実際によくある質問と回答を記載します。
⑴他の企業はどんな内容ですか
事業内容をそのまま適用業務として記載されている場合が多いです。
書き方として各業務を箇条書きにし、記載しております。
詳細は、目次3の⑵ISMS適用範囲をご参考にしてください。
⑵登記上の文言と合わせた方が良いですか
合わせないといけないというルールはありません。
結果的に登記簿の文言と似る場合があります。
⑶どこまでの部署を該当させれば良いですか
適用業務に関わる部署を該当させます。
⑷HPの会社概要と合わせた方が良いですか
合わせないといけないというルールはありません。結果的に会社概要の文言と似る場合があります。
⑸実際に行っていない業務も念のため、該当させた方が良いですか
必要ありません。業務がスタートした段階で該当させるか否か検討してください。
まとめ
ISMSの適用範囲ですが、基本は全て適用です。
例外的に項番に関わる業務を行っていない場合は、適用除外が可能です。
また、ISMSへ適用される拠点に関しても、企業内の課題や取引先との要求によって変わります。
範囲を決めるフェーズは取得に向けて最も大切な項目になりますので、改めて会社を見直すよい機会になると推察します。
そういった理由で、あえて入社歴の浅い従業員様がISOの担当者となり、会社を知る場として活用されているケースもあります。
重複しますが、ISMS取得に関して、大切なことは適用範囲を策定し、どの業務がどの項番に該当するか把握することです。
不明点等がありましたら、認証パートナーへお気軽にお問い合わせ下さいませ。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
のコンサルって何をやってくれるの?-480x270.png)
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ