はい、ISMSの適用範囲は、必ずしも会社全体とする必要はありません。
ISMSの適用範囲は、「組織の課題」と「利害関係者のニーズと理解」から決定されます。そのため、以下のような場合、ISMSの適用範囲と会社全体は異なることがあります。
これらはあくまで具体例であり、これら以外の理由で、ISMSの適用範囲を限定することもできます。判断に迷う場合は、SecureNaviサポートまでご連絡ください。
業界ガイドラインへの準拠のために、ISMSを構築するとき
そのガイドラインにおいて、会社全体でのISMS構築が必ずしも求められていない場合は、関連する部門のみでISMSを構築することができます。
ある特定の顧客からのニーズで、ISMSを構築するとき
その顧客が許可するのであれば、ISMSの適用範囲を、その顧客の情報を取り扱う部署や業務に限定することがあります。
担当者の業務負担の問題
ISMSの適用範囲が大きくなればなるほど、担当者の業務負荷は大きくなります。そのため、まずはISMS構築を、適用範囲を限定して開始することもあります。