組織の状況では、課題と利害関係者をもとに適用範囲を決定します。業務や部門が増加した場合、タイミングや元々の適用範囲の設定に応じて対応が異なります。
部門を追加する
サイドメニュー「組織の状況 > 組織の状況」より、現在のISMS適用範囲の部門をカスタマイズすることができます。新しく増えた部門を追加しましょう。
業務内容の見直し
部門が増えたことにより、ISMSの対象となる「業務内容」が変更になる可能性があります。サイドメニュー「組織の状況 > 組織の状況」より、現在の業務内容を確認し、部門が増えたことにより、業務内容に変更がないかどうかをチェックしてください。
ISMSに必要な各種情報を登録する
部門の追加により、以下のような情報を追加で登録する必要があります。他の部門で実施したように、新しい部門でも、下記の情報を洗い出し、SecureNaviに登録します。
- 目標
- 情報資産
- リスク
- リスク対応(必要に応じて)
- 力量(対象者が増えた場合のみ)
- 供給者
だだし、すでにISMS認証をすでに取得済みで、次回の審査までに、ISMSの年間計画において、上記の見直しが計画されている場合、その見直しのタイミングで情報を登録することも可能です。
拡大審査を受ける必要がないか確認する
部門の追加に伴い新規事業が開始される場合は、審査機関から、ISMSの「拡大審査」を受審する必要がある可能性があります。一方で、部門再編・分割による部門の追加の場合は、拡大審査を受ける必要はありません。
また、新規事業の開始であっても、ISMSの適用範囲の業務内容に含まれている場合は、拡大審査を受ける必要がないこともあります。拡大審査の必要性について確認したい場合は、審査機関の営業担当者、あるいは、SecureNaviサポートチームまでご連絡ください。
なお、ISMSの適用範囲の業務内容の考え方については、合わせて以下の記事も御覧ください。