組織の状況では、課題と利害関係者をもとに適用範囲を決定します。「業務内容」は、ISMSの適用範囲を説明するための1つの要素です。業務内容を適切に記述することで、ISMSの適用範囲を明確化することができます。
業務内容を決めるときには、いくつかのポイントがあります。
順を追ってご説明します。
できるだけ幅広い表現にする
ISMSの審査は、業務内容として記載されている業務を対象として行われます。そのため、ISMS認証を取得した後に、業務内容に書かれていない業務を、新しくISMSの対象として加えたい場合、「拡大審査」という追加審査を受ける必要があります。
拡大審査は、お金も時間もかかるので、出来るだけ受けたくありません。そのためには、ISMSの適用範囲をできるだけ幅広い表現にしていくことが重要です。
あるソフトウェア開発会社の例
あるソフトウェア開発会社は、金融機関が利用するソフトウェアを開発・提供しています。このとき、業務内容はどのように書くべきでしょうか?
業務内容を「金融機関向けソフトウェアの開発・提供」とした場合
事業内容が拡大し、新しく「保険業界向けのソフトウェアの開発・提供」を開始した場合、拡大審査を受ける必要があります。
業務内容を「ソフトウェアの開発・提供」とした場合
事業が拡大し、新しく「保険業界向けのソフトウェアの開発・提供」を開始した場合でも、拡大審査を受ける必要がなくなる可能性があります。
このように、業務内容を広く記載することで、拡大審査を回避することができることがあります。しかし、広すぎる業務内容は、審査機関から「対象が広すぎて、審査できない」と言われてしまう可能性があります。まずは自社の中で業務内容を仮決めしておき、審査機関の営業担当者や審査員と相談する形でも構いません。
まだ実施していない業務を含めない
前述の通り、ISMSの審査は「業務内容」として書かれた業務に従って行われるため、まだ実施していない業務を「業務内容」に記載してしまうと、審査を行うことが難しくなる可能性があります。
会社のWebページや、定款には、今後実施する予定の業務内容を書くこともありますが、ISMSの適用範囲としての業務内容には、まだ実施していない、予定された業務内容を記載しないようにしましょう。
他社の業務内容を参考にする
すでにISMS認証を取得している類似企業があれば、その企業の「業務内容」の書き方を参考にしましょう。ISMS認証取得組織検索から、ISMS認証を取得している企業を調べることができます。
会社名をクリックすると、情報の詳細を確認することができます。その中の「登録範囲」という欄が、ISMSの対象となっている業務内容となります。
「その他」「など」といった曖昧な表現を使用しない
「その他」「など」といった表現は、審査員が業務を正しく審査できない可能性があるため、基本的には利用することができません。
以上が、業務内容を決定するためのポイントになります。