セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

ISO『4.3情報セキュリティマネジメントシステムの適用範囲の決定』規格解説

ISOを認証取得する場合、組織が決定していただく事として、適用範囲があります。

これはISOを認証するにあたり、4.1　組織及び状況の理解や、4.2　利害関係者のニーズ及び期待の理解等を考慮して、適用する範囲を組織が定めることができます。

例えば、本社は東京にあり、支社は大阪や名古屋にあるとします。プライバシーマークは全社で取得しなければいけませんが、ISOの場合は本社だけ取得して、他の支社は適用範囲外とする事も可能です。
また、本社のシステム部のみを適用範囲内にして、他の部を適用範囲外とする等、部署ごとでの認証も可能です。

そして、情報セキュリティマネジメントシステムの適用範囲は、文書化した情報として利用可能な状態にしておくことが要求事項として求められます。

具体的には、情報セキュリティマネジメントシステムの適用範囲を、以下の内容で明確に定める必要があります。

• 適用範囲：適用範囲関連資料
• 組織的境界：組織図
• 物理的境界：フロア図
• 技術的境界：ネットワーク図
• 業務的境界：業務概要図

ISOの取得検討時に、利害関係者からの要望を考慮しながら、組織が管理している重要度が高い情報資産における適用範囲を定める事が重要となります。