適用範囲とは

ISMSにおける管理の対象を決めるために、適切な情報に基づき、ISMSを適用する範囲とその境界線を文書にて明らかにします。

ISMSの適用範囲を決める

ISMSの適用範囲は関係者や法規制などを考慮した会社の決めた方針に基づいて決定されます。
したがってISMSの適用する範囲は全社でも、優先付けされた特定の部署やサイトだけでも適用範囲にすることができます。

適用範囲を決める際の注意点

適用範囲を決めるうえでの考慮すべき点として以下があげられます。

• ISMSの導入により想定した成果を出すことができた時に影響がでてくる内外部の問題
• 契約上のセキュリティに関する義務を含む、関係者との現状を維持できるか
• 情報セキュリティに関する法令及び規制の要求事項
• 自社と他の組織とのインターフェース
• 自社と他の組織の活動の依存関係

会社全体をISMSの適用範囲とする場合は問題ありませんが、特定の部署やサイトだけを適用範囲とする場合、上記を考慮して適用範囲の検討をするとよいでしょう。

適用範囲の境界線

ISMSの適用範囲とその境界線は「対象の事業」「対象の組織」「対象のサイト」が対象となります。
ISMSで使用する文書は1つにまとめるルールはありませんので、境界線などは「組織図」などを利用することもできます。
また、管理対象の情報資産についても「ネットワーク図」「システムレイアウト図」などを利用することができます。