ISO27001規格における適用範囲

ISO27001規格では、「事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。」と定めています。このことから、適用範囲や境界を明確に定める必要があります。
基本的には、適用範囲は事業所名や部署名とその住所が明示されます。

適用範囲の条件は、大きく三つが考えられます。
まず、物理的に離れている、または独立していること。
次に、ひとつのマネジメントとして成立していて、合理的に説明しうる境界をもっていること。
最後は、情報資産におけるセキュリティ要件が同等かまたは類似していること。
と、されています。

境界については、業務のフローや組織を図示することで明らかになります。また、ネットワーク図で、ルータ間の境界をはじめとする物理的な境界を規定することができます。

適用範囲は審査登録機関の作業量や費用にも関係しています。そのため、審査登録機関は当該組織に対し、アンケートを実施することで、上記の基本条件を中心に以下のような観点から適用範囲を明確に定義します。

  • 業務内容
  • 人員(外部からの派遣者も含む)
  • 場所(数や、設備など)
  • 情報技術(ソフトウェアやネットワーク環境など)
  • 情報資産

このことから、実務的には優先順位と緊急性を勘案し、取り掛かりやすく、効果の出やすいところから始めるべきであるとされています。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る