• Pマーク
  • ISO
  • ISMS

ISOコラム

ISO27001:4.3項:情報セキュリティマネジメントシステムの適用範囲の決定

こんにちは。ISO総研の栗林です。

Iso27001とは?

Iso27001とは、国際的に定められた情報を守るための方式の基準規格です。

そもそものisoが何かというと、これはInternational Organization for Standardization、国際標準化機構と呼ばれるものの略で、世界各国、140カ国以上の国々が加盟している、本拠地をジュネーブとする組織です。

この国際的な組織は、iso27001のほかにも、iso9001や環境マネジメントシステムと称されるiso14001など、様々な規格を創造し制定、認証している組織なのです。

iso27001は今やどの組織・どんな業種でも必要だ、とは言われてもどういうものなのか、何をするればよいのか、よく分からないという方も多くいらっしゃるでしょう。

情報処理の発展が目まぐるしく起こった昨今では、情報処理サービス業だけに留まらず情報への安全対策は重要です。

組織が持つ様々な情報資産、監査証跡やデータファイル、手順書やシステムソフトウェア、開発用ツールなどのソフトウェア資産、他、無形資産やサービス資産、物理的資産など、これらのものを、影響度や様々なものを基準に、その危険性の度合いを評価します。

その後、その評価がリスクが高い、とされたものに、また様々な角度からセキュリティ万全となるよう、対策が講じられ、それを実行しちゃんと管理出来ていくようにするのです。

全くの危険性皆無、というところまで持っていくのには様々なコストなどもかかるため、程よく組織に害が及ばなくさせる対策を生み出し、管理していくのがiso27001の目的です。

4.3 情報セキュリティマネジメントシステムの適用範囲の決定

4.3 情報セキュリティマネジメントシステムの適用範囲の決定

組織は,ISMS の適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。
この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。

a) 1 に規定する外部及び内部の課題
b) 2 に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係

ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない

【解説】

組織は,ISMSの適用範囲を定めるためにあたって,その境界と適用可能性を決定しなさい。
この適用範囲を決定するとき,組織は,次のことを考慮しなさい。

a) 4.1 に規定する外部及び内部の課題
b) 4.2 に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間の接点(インタフェース)及び依存関係。

つまり、自社と他社の責任分担や守備範囲、依存関係を明確にすることを意味している。

ISMSの適用範囲は、文書にして確認できる状態にしなさい。つまり、適用範囲を文書にして明確にしておきなさいという事。

では、もう一つ規格1項「適用範囲」についてご説明していきます。

適用範囲について

この規格は、組織の状況の下で、ISMSを確立し、実施し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を、次に示す。

ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

ISO(アイエスオー)27001では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。

ISO(アイエスオー)は適用範囲を選ぶことができます。

例えば、20工場の拠点を持っている会社があり、各工場では違う製品、違う顧客、違った業務フローで業務が運営されています。そんな所で1つのルールを作って運用なんてできませんよね。その為、ISO(アイエス―オー)では各拠点、各部署、各製品での認証が可能となります。

上記のように、適用する範囲に大きな違いがございます。

取得を検討している場合は、どちらの情報を多く会社が保持しているか、又は顧客が個人・法人どちらが多いか、どちらの認証を顧客から要求されているかにもよって変わってくるかと思います。

最近は、ISO(アイエスオー)9001とISO(アイエスオー)14001の2015年版への規格改正等大きな話題となっていますが、ISO(アイエスオー)27001は2年前の2013年に改正を行っている。

ISO(アイエスオー)27001の規格目次とISO(アイエスオー)9001、ISO(アイエスオー)14001の規格目次をみて頂ければ気づくかもしれないですが、大枠の流れは同じである。

その為、ISO(アイエスオー)9001、ISO(アイエスオー)14001、ISO(アイエスオー)27001の統合も今後はしやすいようになっていくかもしれませんね。

  • ムダチェックリスト無料プレゼント
  • お役立ちツール無料プレゼント
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ