こんにちは。ISMS認証取得コンサルタントの幸松です。

ISMSはプライバシーマークと異なり組織や事業所単位で取得が可能となっています。
実際にISMSの審査費用は対象の部門や人数によって変わってきますので
「必要がない」と判断した部署では認証取得は不要だと思います。

ただ、中には「ウチの部門はISMSは取ってないからルールは関係ないです」
「ISMSに関係ないので、Windowsアップデートも必須じゃないです」といっているところもあります。

確かにISMSというのは、認証ですので取得する部署、取得しない部署はあると思います。
ただ、それはあくまでも経営上の判断での認証範囲であるので情報の取り扱いに関しては
会社としてのルールを授けるべきです。
もちろん、会社としてリスクが高い部署だけISMSを取得して
そこだけ特別ルールというのも問題ありませんが
取得していない部署での情報の取り扱いに関するリスクが
大きくなる場合はしっかりと対策をすべきです。
認証範囲であろうとなかろうと。

実際に、認証範囲外の部署で情報漏えい事件を起こしている事例もあります。
その際にも「認証範囲外だから知りません」というような事は決してありません。
企業として情報の取扱いは適切に行わなければいけません。

LRMでは、ISMS取得支援サービスを主に行っておりますが
もちろん、認証は取得しない場合の情報セキュリティ対策も支援させて頂きますので
お気軽にお問い合わせ下さい。