ISMSの適用範囲は？考慮すべきポイントや留意点を具体的に解説

ISMS（情報セキュリティマネジメントシステム）の適用範囲を定めることは、社内のセキュリティ対策の実効性を高めるとともに、認証の取得にかかる混乱を防ぐためにも必要です。ISMSの適用範囲の考え方や設定のポイント、注意点などを押さえておきましょう。

ISMS の適用範囲とは？

ISMSの適用範囲とは、組織が情報セキュリティ管理の対象とする領域を、明確に定義したものです。まずは管理対象の範囲について、基本的なところをみていきましょう。

ISMSが管理する対象や領域

ISMSの管理対象には、業務に関する情報やシステム、業務プロセス・人的リソースなどが含まれます。例えば、顧客データやITシステム・ネットワークなどが、代表的な管理対象です。また業務プロセスでは、情報の流れや取り扱いに関連する部分なども管理対象となります。

これらを適切に定義し、管理が必要な範囲を絞ることが、セキュリティ対策を効率的に進めるための重要なポイントです。

適用範囲はいつまでに決める？

ISMSの適用範囲は、ISMSを構築する初期の段階で決定する必要があります。自社の状況を俯瞰し、リスク評価やニーズ分析を行い、どの部門・部署や業務を管理の対象にすべきかを決定することが重要です。

適用範囲の定義が遅れると、後の施策の計画・実行に支障が出る可能性があるため、できるだけ早く決めるようにしましょう。ただし決定のタイミングにより、具体的な施策やリソース配分などが変わることもあるため、慎重な検討が求められます。

適用範囲を決める際に考慮すべきポイント

ISMSの適用範囲は企業が任意に決められますが、無条件に設定してよいわけではありません。次の5つの観点から、適用すべき範囲を決定する必要があります。

• 事業的範囲：業内容や対象サービス
• 組織的範囲：部門やチームなど組織内の範囲
• 物理的範囲：施設や拠点など物理的範囲
• ネットワーク的範囲：対象ネットワークやシステム
• 情報資産の管理範囲：保護対象となる情報資産

上記のように、対象とすべき事業や組織・施設などの範囲を、明確に定義する必要があります。さらにネットワークや業務上で使用するシステムやツール、外部のパートナーやサプライヤーとの連携などもきちんと考慮して、決めるようにしましょう。

ISMSの適用範囲の例

例えば、製造業の企業であれば、工場の管理システムや生産ラインのデータ、社員の個人情報をISMSの適用範囲に含めることが考えられます。いずれも機密性や運用上の重要性が高く、製品の品質や生産効率にも直結する要素です。

あるいは金融業界では、顧客情報や取引データ、電子取引のシステムなどが適用範囲に含まれるでしょう。顧客情報や取引データが業務の根幹を成すため、徹底したセキュリティ対策を講じるべき対象です。

これらはあくまでも一例であり、具体的な適用範囲は業界や企業によって異なるので、自社が直面するリスクに合わせて、適切な範囲を設定する必要があります。

ISMSの適用範囲を決める際の留意点

ISMSの適用範囲を決める際には、以下の点にも留意が必要です。運用には適用範囲定義書の作成が必要であり、実態に見合わない範囲設定はISMS認証を受ける上では、認められない可能性があります。定義する適用範囲には、合理的な理由がなければいけません。

適用範囲定義書の作成が求められる

ISMSの国際規格であるISO27001は、ISMSの適用範囲の設定後、適用範囲定義書の作成を求めています。文書によりどの範囲でISMSを実施するのかを明確にし、関係者全員が共通の認識を持っておくことが大事です。

適用範囲定義書には組織の業務プロセスやシステムの範囲、管理対象となる情報やデータの種類、適用対象となる部門・部署などを詳細に記載しましょう。ISMSを業務委託する場合、定義書の提出を求められる場合もあります。

実態に見合わない設定はNG

ISMSの適用範囲は、組織の実態に合わせて設定しなければいけません。適用範囲が過度に広すぎたり、狭すぎたりすると、実際の業務に適合せず、ISMS認証を受けられなくなる可能性があります。

また、実態に見合わない適用範囲を設定すると、リスク管理やセキュリティ対策が不十分になり、実際の脅威に対応できなくなります。適用範囲は実際の業務内容やセキュリティリスクに基づいて設定しましょう。

適用範囲の限定には合理的な理由が必要

適用範囲を限定する場合、その制限には合理的な理由が必要です。特定の部門や業務を範囲外にする理由が不明確であれば、後々トラブルの原因となりかねません。

例えば、特定の業務が機密情報を取り扱う場合、それを適用範囲から除外する際には、相応の理由が必要です。ISMS認証を受ける際、審査が楽になるといった安易な理由で、適用範囲を限定しないようにしましょう。逆に、審査で不利になる可能性もあります。

適用範囲を決定して全社的にISMSに取り組む

ISMSの適用範囲を決める際には、事業的範囲や組織的範囲・情報資産の管理範囲など、さまざまな観点から最適な範囲を検討することが重要です。適用範囲の設定が正確でなければ、ISMSの効果的な運用が難しくなり、組織全体の情報セキュリティが脅かされる可能性もあります。

単なる認証取得のための手続きではなく、組織全体の情報セキュリティの向上を目指す取り組みがISMSです。有効なセキュリティ施策を打ち出すためにも、他社の事例も参考にしつつ、自社の環境に合った適用範囲を定義しましょう。

低コストでセキュリティ対策を始めるなら

• 「セキュリティ対策が求められているが、予算が限られている」
• 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。

まずは無料で資料をダウンロードしてお確かめください。

Watchy：https://watchy.biz/
運営会社：株式会社スタメン（東証グロース市場4019）