分社化前の「現会社」と、分社化して発生した「新会社(候補)」に分けられる場合、審査時に存在するのが現会社のみであれば、適用範囲は「現会社」で問題ありません(適用範囲に「新会社(候補)」を含める必要はない)。
その上で、すでに「現会社」と「新会社(候補)」の従業員同士での業務連携が発生している場合は、「情報資産」と「供給者」の観点で整理する必要があります(分社前後の社員が相互に情報参照することについては、ISMS取得観点上は問題ありません)
情報資産
- 情報の授受が発生している場合、暗黙的に情報の機密性・完全性・可用性の維持を提供者から求められています。このことは、利害関係者のニーズ及び期待として整理する必要があります。
- そして、ISMSの適用範囲(ISMSで管理すべき情報)は利害関係者のニーズ及び期待をもとに決定します。そのため、この情報資産を適用範囲に含めて管理したほうが良いです。
供給者
- 情報資産を預かった者が別組織であれば、供給者として管理します。
- 例えば書類授受の場合、預かった者は書類保管業務を受託していることになります。
- ISMSの供給者関係は情報の動きだけを見るので、NDAや業務委託契約の有無など、契約関係は一切関係ありません