ISO 27001 & BS 25999

ISO 27001導入の第一段階が適用範囲の定義であることは、おそらくご存知でしょう。 ご存知ないのはおそらく、この手順は、一見単純ですが、さまざまな問題を引き起こす可能性があるということです。つまり、多くの会社では導入コストを削減するために適用範囲を狭めようとしますが、そのような適用範囲が頭痛の種になることは珍しくありません。

では問題はどこにあるのでしょうか。

ISO 27001の適用範囲が組織でない場合の問題は、情報セキュリティマネジメントシステム（ISMS）が「外の」世界との接点を持たねばならないということです。この文脈で言う「外の世界」には、クライアント・パートナー・供給者などだけでなく、組織内の適用範囲外の部門も含まれます。おかしいと感じるかもしれませんが、適用範囲外の部門は外部供給者と同じように扱う必要があります。

たとえば、適用範囲に選択したのがIT部門だけで、このIT部門が購買部のサービスを利用している場合、IT部門は購買部のリスクアセスメントを実行して、IT部門に責任のある情報にリスクがあるかどうかを特定する必要があります。さらに、この2部門は提供されるサービスの取引条件に署名する必要があります。

そのようなコストが必要なのはなぜでしょうか。 認証機関の立場で考えてください。認証機関は、あなたが適用範囲内の情報を安全に処理できることを認証する必要がありますが、適用範囲外の部門をチェックすることはできません。そのような状況を処理する唯一の方法は、そのような部門を外部の企業のように扱うことです。 （認証審査員は決して狭い適用範囲を好まないことに注意してください。）

問題はまだ終わりません。単に外の世界との接点がないだけのために、適用範囲を狭くできない場合もあります。 たとえば、適用範囲内と適用範囲外の従業員が同じ部屋の中に座っているような場合、そのような適用範囲はほとんど実現不可能です。適用範囲内外の従業員が同じローカル・ネットワークを（領域分割なしで）を利用していて、さまざまなネットワーク・サービスにアクセスしている場合、そのような適用範囲は確実に不可能です。そのような場合に、適用範囲内だけの情報の流れを管理する方法はありません。

要するに、ISMSの適用範囲を狭めることは、まったく不可能なこともあるし、多くの場合余計なコストが発生するということです。 したがって、当初は優れたソリューションに見えなかったものが、最終的には最適なソリューションであることがあります。適用範囲を組織全体にまで広げてみてください。 原則として、組織の従業員が数百人以下で、支社も数箇所程度である場合には、組織全体を適用範囲とするISMSが最適です。

逆に、実際に組織全体をISMSの適用範囲で覆うことができない場合には、十分に独立した組織単位を適用範囲に設定してみてください。そして「契約」として働く内部文書（方針・手順など）でサービスを決めることにより、適用範囲外の他の組織単位との関係を解決してみてください。そうすれば、そのような組織単位の責任を、日常業務で利用できるような方法で文書化することができるでしょう。

おめでとうございます。これでISO 27001導入の第一段階は解決しました。

—

また、弊社のビデオ・チュートリアルHow to Define and Document the ISMS Scope According to ISO 27001（市販ビデオ）もご利用ください。

This post is also available in: 英語, ドイツ語, スペイン語, クロアチア語, ポルトガル語（ブラジル）