組織の状況の取り組みにおいて、「課題」と「利害関係者のニーズ・期待」が理解できれば、必然的に、組織が重点的にセキュリティ対策を行う必要がある業務や部署が見えてくるでしょう。
上記でまとめた内容をもとに、当社のISMSの適用範囲を決定します。ISMSの適用範囲は、以下の観点でまとめましょう。
- 組織(組織の名前、会社の名前、部署の名前など)
- 所在地(住所、拠点名)
- 業務内容
- 対象部門
業務内容の書き方
ISMSの適用範囲を決める上で、業務内容を明確にする必要があります。業務内容の書き方については、以下の記事が参考になります。
対象部門の書き方
対象部門には、ISMSの適用範囲に含まれる部門を登録してください。
- 事業部・部・課など、様々な階層がある場合 どの階層を登録すべきかについて、明確な基準はありません。一概には言えませんが、100人規模の適用範囲であれば、5〜10程度の部門を登録するケースが一般的です。課だと細かすぎる場合は部単位で、部だと大まかすぎる場合は課単位での登録を検討してみてください。
- そもそも部門が存在しない場合 仮想的な部門を作成してください。例えば「営業チーム」「開発チーム」「人事総務チーム」などです。
適用範囲についてのよくある質問
適用範囲が「会社全体」と異なるのはどんなとき?
ISMSの適用範囲は、必ずしも会社全体とする必要はありません。以下のような場合、ISMSの適用範囲と会社全体は異なることがあります。
- グループ会社全体で1つのISMSを構築するとき(ISMSは、複数の組織をまたいで構築できます)
- ある特定の顧客からの要望でISMSを構築するとき(その顧客の情報を取り扱う部署や業務に限定することがあります)
- 担当者の業務負担を考え、まずは小規模でISMSを構築してみたいとき
実際には多くの場合「ISMSの適用範囲 = 会社全体」となります。迷ったら、会社全体と考えればよいでしょう。
業務委託・フリーランスの方も適用範囲にいれるべき?
業務委託・フリーランスの方(ここでは、まとめて「業務委託者」と呼びます)を、ISMSの適用範囲に入れるべきかどうかは、難しい問題です。ISMSの適用範囲を決める上で雇用形態は全く関係しませんので、例えば業務委託者が社員と全く同じ情報を取り扱う業務を、全く同じ場所で行っている場合は適用範囲に含めるべきです。
一方、物理的に異なる場所で働いていたり、社員の方よりかは扱う情報のレベルが低い場合は「供給者」とみなし、ISMSの適用範囲から外すこともできます(供給者は、供給者管理という項目で、別途セキュリティチェックを行う必要があります)。
新しくサービスをリリースする場合は、拡大審査などは必要?
上述の通り、組織、所在地、業務内容、対象部門を追加したい場合は拡大審査が必要になります。
一方、当初定めた適用範囲に収まると解釈できる場合は、拡大審査は不要です。