ISO27001規格における適用範囲

ISO27001規格では、「事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。」と定めています。このことから、適用範囲や境界を明確に定める必要があります。
基本的には、適用範囲は事業所名や部署名とその住所が明示されます。

適用範囲の条件は、大きく下記の三つが考えられます。

• 物理的に離れている、または独立していること
• ひとつのマネジメントとして成立していて、合理的に説明しうる境界をもっていること
• 情報資産におけるセキュリティ要件が同等かまたは類似していること

境界については、業務のフローや組織を図示することで明らかになります。また、ネットワーク図で、ルータ間の境界をはじめとする物理的な境界を規定することができます。

適用範囲は審査登録機関の作業量や費用にも関係しています。そのため、審査登録機関は当該組織に対し、アンケートを実施することで、上記の基本条件を中心に以下のような観点から適用範囲を明確に定義します。

• 業務内容
• 人員（外部からの派遣者も含む）
• 場所（数や、設備など）
• 情報技術（ソフトウェアやネットワーク環境など）
• 情報資産

このことから、実務的には優先順位と緊急性を勘案し、取り掛かりやすく、効果の出やすいところから始めるべきであるとされています。

• ISO27001
• 情報資産