• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO(アイエスオー)27001(ISMS):2015年度規格改訂1項「適用範囲」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO(アイエスオー)27001(ISMS):2015年度規格改訂1項「適用範囲」規格解釈

_shared_img_thumb_AL001-3_kaigisitumachigaeru20140830_TP_V

いつもお世話になっております。
ISO総合研究所コンサルタントの中本です。

余談ですが、弊社では合計8名の新卒の方が入社しました。5月にもなり、約1ヶ月も立つと社会人にもすっかり慣れた顔つきになってきますね。

そんな中、皆さんも是非5月病には気を付けて下さいね。

早速ですが、本日のタイトル「ISO(アイエスオー)27001(ISMS):2015年度規格改訂1項「適用範囲」規格解釈」について書いていきたいと思います。
まず、ISO27001(ISMS)とはなんですか?から始めた方がよいですよね。

ISO(アイエスオー)27001(ISMS)とは

情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントです。
まだちょっとわかりにくいですよね。

では、説明の中ででてきた情報資産とは、企業は物を作ったり、販売したり、サービスを 提供したりする中で付加価値を生み、その対価を得ることで成り立っています。その企業活動は情報によって企画され管理されます。お客様の情報、市場の情報、仕入先の情報、生産管理情報など、情報を的確に取り扱うことで正しい経営ができます。情報は、企業経営の根幹を成す重要な経営資源ということができます。それほど重要、という認識が必要です。

その情報そのものと、情報を収集したり処理したり保管したりするための装置を情報資産といいます。
会社にあるお客様の情報、従業員の情報、又それを保管しているサーバーをウイルスや盗難から守る為にしっかりと管理する仕組みを作ってください。というものです。

最近で言えば、ベネッセコーポレーションの大規模な個人情報流出(760万件)がありますよね。ISO(アイエスオー)27001(ISMS)の観点から言うと、委託先の派遣社員が盗難してしまうリスクを予想しておらず仕組み作りができていなかったということになりますね。

では、今回の規格1項「適用範囲」についてご説明していきます。

1項「適用範囲」

この規格は、組織の状況の下で、ISMSを確立し、実施し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を、次に示す。
ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

ISO(アイエスオー)27001(ISMS)では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。

ISO(アイエスオー)は適用範囲を選ぶことができます。

例えば、20工場の拠点を持っている会社があり、各工場では違う製品、違う顧客、違った業務フローで業務が運営されています。そんな所で1つのルールを作って運用なんてできませんよね。その為、ISO(アイエス―オー)では各拠点、各部署、各製品での認証が可能となります。

少し話しがそれてしまいますが、当社でもお手伝いしているP(プライバシーマーク)は全社ですよね。この規格との大きな違いは情報の範囲が違うことですね。

ISO(アイエスオー)27001(ISMS):情報資産全般
Pマーク(プライバシーマーク):個人情報のみ

上記のように、適用する範囲に大きな違いがございます。取得を検討している場合は、どちらの情報を多く会社が保持しているか、又は顧客が個人・法人どちらが多いか、どちらの認証を顧客から要求されているかにもよって変わってくるかと思います。

最近のISO

最近は、ISO(アイエスオー)9001(QMS)とISO(アイエスオー)14001(EMS)の2015年版への規格改正等大きな話題となっていますが、ISO(アイエスオー)27001(ISMS)は2年前の2013年に改正を行っている。

ISO(アイエスオー)27001(ISMS)の規格目次とISO(アイエスオー)9001(QMS)、ISO(アイエスオー)14001(EMS)の規格目次をみて頂ければ気づくかもしれないですが、大枠の流れは同じである。

その為、ISO(アイエスオー)9001(QMS)、ISO(アイエスオー)14001(EMS)、ISO(アイエスオー)27001(ISMS)の統合も今後はしやすいようになっていくかもしれませんね。

ISO(アイエスオー)27001(ISMS)の規格改正は現状ひと段落を終えていますが、今後はISO(アイエスオー)9001(QMS)とISO(アイエスオー)14001(EMS)の規格改正が周りの会社で増えてくるでしょう。是非、お困りやご相談事があれば、弊社に一度ご連絡ください。

弊社のコンサルタントがお伺いさせて頂きます。

カテゴリー:ISOコラム タグ:ISO 規格要求事項
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ