まず最初に
ISMSを構築するにあたり、まず第一ステップとして、適用範囲を決める必要があります。
ISMSの認証取得は、全社一括でなくても、施設や事業の単位で設定できます。適用範囲を定義する際には、「情報セキュリティ上の問題が発生した場合、会社として大きな損害を受ける可能性の高い情報、および業務は何か?」を考慮するとわかりやすくなります。
そのため、事業継続上、保護しなければならない重要な情報は何かを考慮し、効果的な情報セキュリティの観点から範囲を決定します。
規格要求事項では
JIS Q 27001:2006規格要求事項では、「事業・組織・所在地・資産・技術の特徴の見地から、ISMSの適用範囲及び境界を定義する。」と記載されています。
ISMSの適用範囲を決める
事業の視点から、担当部門(組織的範囲)、事業を行う場所(物理的範囲)、利用するネットワークの範囲などを決定する場合や、社屋や施設、部屋等の物理的視点から、その中で行う事業、組織、ネットワークの範囲を決定するなど、組織の事情によって異なりますが、これらを包括した形で適用範囲を決定します。
そして、ISMSの適用範囲を決め、構築してから、適用範囲を広げることも可能です。
PDCAのマネジメントシステムを運用していく中で、守るべき情報資産が増えていくのは自然なことです。どこまでを適用範囲とするか、お悩み・ご相談がありましたら、LRMの無料訪問サービスをご利用頂ければ、会社様にあったご提案、回答をさせて頂きます。
