このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格は細かく紹介しようと思えばいくらでも深めることができます。ということで、一度じっくり見てみようというものです。
今回は、【4.3 情報セキュリティマネジメントシステムの適用範囲の決定】をじっくり読み砕いていきましょう。
概要
簡単にまとめると「ISMSの適用範囲を決めましょう」です。
ISMSは必ずしも全社で適用する必要がありません。
そこでこの項目では、適用範囲に関する以下2つのポイントを定める必要があります。
- 境界
- 適用可能性
また、上記の適用範囲を定める際には3つのポイントを考慮する必要があります。
- 4.1で特定した内部・外部の課題
- 4.2で特定した利害関係者の要求事項
- 組織が実施する活動とほかの組織が実施する活動の間の接点や依存関係など
そしてもう一つ重要なこととして「適用範囲を文書化した情報」を作成する必要があります。
ここまで様々な言葉が出てきましたが、具体的なイメージが湧きづらいのではないかと思います。
次項では、それぞれについてもう少し詳細に見てみましょう。
境界と適用可能性とは?
境界
一言でまとめると「適用範囲の内と外の線引き」です。
ただ、この線引きは様々な角度から考える必要があります。一例をあげてみましょう。
人的な線引き
もし全社的にISMSの適用範囲とするのであれば、線引きは組織の内か外かという分かりやすいものになります。
しかし、例えば、組織内でも営業部のみ取得するなど、一部だけとる場合などには、組織の内でもさらに適用範囲の内と外が生まれることになります。
このようにISMSは線引きが自由であるからこそ、どの部署でとるのかや、どの人員が適用範囲の内側に該当するのか明確にすることが必要です。
補足しておくと、ISMSでは業務委託やフリーランス雇用の従業者を適用範囲に入れることも可能です。
そういった観点でも情報の取扱いや任せている業務の重要度などを鑑みて、どの範囲まで人的な線引きを広げるべきか考えると良いでしょう。
物理的な線引き
オフィスがどこにあるのかというのもひとつの物理的な線引きですし、もっと詳細に言うと、オフィスが存在するフロアの中でも自分たちの管理下にある部分はどこなのかということを明確に線引きしておく必要があります。
例えば、オフィスビルのワンフロアのとある一角を借りているだけの場合には、自組織のエリア外の廊下や共有スペースまで管理下としてISMSを適用する必要がありません。
このように、自分たちのISMS上どこを適用範囲として管理する必要があるのか物理的なエリア境界を明確にしておくことが求められます。
技術的な線引き
簡単に訳すると、ネットワークの線引きです。通常オフィス内では自組織のネットワークを構築しているのではないでしょうか。
そして、構築しているネットワークは自組織の管理下にあるのではないかと思います。
このような自組織の管理下にあるネットワークに関しても、明確にしておきましょうということです。
というのも、ISMSではネットワークの管理ルールなども決めていくので、この点が明確にできていないと、どこまで自分たちの作った仕組みを適用させていけばいいのか分からなくなります。
資産的な線引き
これまでにも述べた通り、ISMSは全社的に適用する必要がありません。ということは、一部のみを適用範囲とした場合、組織の持つ情報資産にも内と外が生まれることになります。
特に、情報は組織全体で共有して管理していることが十分に考えられるため、適用範囲の組織がどこまで管理するのかを明確にしておくことが大切になってきます。
事業的な境界
適用範囲を一部に限ることができるということは、組織によっては特定の事業のみで取得を目指すこともあるのではないでしょうか。
そういった際には、人的な線引きなどと併せてどの事業に適用させるのかといった事業的な線引きも考えておく必要があります。
特にISMS認証で審査をされる際には、組織×住所×事業で「ここが適用範囲!」と明確に分かるように線引きしておくことが求められてきます。
適用可能性
適用可能性とはいわば「その適用範囲でISMSを運用していくことは現実的か」を確認することです。
例えば、特定の部署や事業のみを適用範囲にする場合、そこに予算執行権などの権限がなければ、いくらISMSを運用したくても形骸化したものになってしまうかもしれません。
また、この後に出てくる依存関係にもつながりますが、一部だけを適用範囲とすることでセキュリティリスクやニーズをカバーしきれるのかという問題も出てきます。
このような観点から、適用範囲の境界として定めた範囲が適切なのか、意味のある運用を行っていく上で現実的なのか、ということを考えましょうということです。
適用範囲を考える3つのポイント
4.1で特定した内部・外部の課題
例えば、内部の課題で「情報セキュリティ体制・ルールの整備」や「従業者のリテラシー向上」を掲げているにもかかわらず、一部のみを適用範囲にして課題解決につながるでしょうか。
反対に、外部の課題で「GoToキャンペーンによるサービス利用増加への対応」みたいなものを掲げている場合は、その事業に該当する部署のみの取得でも問題ないかもしれません。
このように内部・外部の課題から、どの範囲を適用範囲にするのが適切かということを導き出すことができます。
4.2で特定した利害関係者の要求事項
例えば、顧客からの要求事項で、「預けている個人情報は適切に守ってほしい」というものがあれば、個人情報を取り扱う部署や業務全体を適用範囲とするべきかもしれません。
一方で、取引先や親会社から、「○○事業の信頼性担保」みたいなことを求められている場合は、求められている部分を適用範囲とすることが望ましい可能性もあります。
このように、利害関係者のニーズに応じて、適用範囲は大きく変わり得るということを考慮しておく必要があります。
組織が実施する活動とほかの組織が実施する活動間の接点や依存関係など
この項目は、上記2点や適用可能性とも関連してきますが、「この部分を適用範囲とするのが望ましいか」判断するための項目になってきます。
例えば、営業部とマーケティング部という部署が存在した場合、一見異なった部署に見えるため、片方の部署だけを適用範囲としても問題ないかもしれません。
ただ、もしかすると「マーケティング部で分析した情報を営業部が営業活動に利用している」「営業で得た顧客一覧をマーケティング活動に利用している」といった形でそれぞれが依存関係にあったり、活発に関係している可能性があります。
このような場合には、両部署を含む形のISMSを構築した方が意味のあるものになるといえるでしょう。
一方で、例えば「A工場」と「B工場」が存在していて、全く違うものを作っていて、各工場の取り決めや運用ルールも全く異なる場合には、一つのISMSにまとめてしまうのは無理があるかもしれません。
このように、依存度を見て適用範囲を広げた方がいい可能性がある一方、場合によっては分離しておいた方が運用しやすいといったことも考えられます。
適用範囲を考える際には、適用可能性と併せて、この項目も検討してみましょう。
文書化した情報にする
適用範囲を文書化した情報にする場合、何を作ればいいのでしょうか。
例えば、適用範囲の住所や組織名、事業などは、言葉として表すことができるため、マニュアルなどの文書に項目を作って記載すれば問題ないでしょう。
一方で、物理的な境界やネットワーク、組織の境界などは言葉で表すことが難しいです。
このようなものに関しては、図面として作成すると良いでしょう。
「文書化した情報」だからといって、無理やり文章にする必要はなく、どちらかというと分かりやすい形にとして作成することが大切です。
(参考:「文書化した情報」=「文章化された情報」ではない)
まとめ
今回は、【4.3 情報セキュリティマネジメントシステムの適用範囲の決定】について解説してきました。
適用範囲は、「認証が欲しいところ」など割と安易に決めてしまいがちですが、より意味のあるISMSを構築していく上では、今回紹介したような要素をしっかりと考慮したうえで、決めていくことが大切です。
よりよいISMSを作っていくためにも、「土台となる適用範囲」はしっかりと決めておきましょう。