箇条4では,組織を取り巻く情報セキュリティの状況や利害関係者のニーズ・期待を理解したうえで,ISMSを組織のどの範囲に適用するかを定めるよう要求しています。
この記事では,「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」では,ISMSを適用するところと適用しないところの境界と,その適用される範囲内で規格の要求事項がどのように適用できるのかを決定するよう要求しています。
規格要求事項
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
組織は,ISMSの適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。
この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。
a) 4.1に規定する外部及び内部の課題
b) 4.2に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
「境界」ってなんですか?
一言にまとめると,適用範囲の内側と外側の境目なんだ。例えば,人的・組織的境界,物理的境界,技術的境界,資産的境界,事業的境界が挙げられるぞ。
組織の一部だけを適用範囲とすることはできるんですか?
組織の目的や内外の課題に応じて,ISMSを組織全体に適用することも組織の一部に適用することもできるんだよ。ただし,一部に適用するときは「適用可能性」に注意することと「適用範囲を限定した(適用を除外した)理由」を明確にしておく必要があるぞ。
境界の考え方
ISMSの適用範囲は,その境界を明確にしおく必要があります。ISMSの適用範囲を組織の全部とするのか,一部とするのかによって明確にすべき境界が異なる場合もあるので注意が必要です。
人的・組織的境界
例えば,組織全体をISMSの適用範囲とするのであれば,組織の内か外かという境界は分かりやすいものになります。しかし,組織内の一部だけを適用範囲とする場合には,同じ組織内に適用範囲の内と外という境界が生じることになります。
したがって,適用範囲を組織の一部とした場合には,その組織のどの人やどの部門が,適用範囲の内側に該当するのかを明確する必要があります。
ISMSでは,企業グループをひとつの組織体として,企業グループ内で同一の規程やルールを適用している場合には,子会社を適用範囲に含めることも可能です。また,直接雇用ではないものの,指揮命令が可能な派遣社員を適用範囲内の人員とすることも可能です。情報の取扱い範囲や任せている業務の重要度などに応じて,どの範囲までを適用範囲とするかについて検討すると良いでしょう。
物理的境界
組織の施設がどこにあって,適用範囲の内と外との物理的な境界はどこなのかを明確する必要があります。
例えば,組織全体を適用範囲としているある組織が,テナントビルの1フロアーをオフィスとして入居している場合では,その専有部は適用範囲の内側ですが,共用部(廊下や階段,トイレなど)は適用範囲の外側ということになりますが,ビル1棟のすべてのフロアに入居している場合には,そのビル全体が適用範囲の内側となり,ビルの外が適用範囲の外側ということになります。
ISMSでは,適用範囲の物理的なエリア境界を明らかにし,自組織が管理しなければならない対象や範囲を明確にすることが求められています。
技術的境界
組織によって規模の違いはあると思いますが,一般的な組織では,組織内に情報システムやLAN(ローカルエリアネットワーク)を構築して運用していて,その情報システムやLANは,インターネットに接続していると思います。また,近年では,クラウドサービスを利用している組織も多いのではないでしょうか。
このような環境において,自組織の管理下にある情報システムやLANとインターネットやクラウドサービスとの境界を明確にする必要があります。
物理的境界と同様に,適用範囲のIT環境の境界を明らかにし,自組織が管理しなければならない情報システムやネットワークの対象や範囲を明確にすることが求められています。
資産的境界
顧客から業務を委託されている場合や,ISMSの適用範囲を組織の一部とした場合に,資産的境界が生じることがあります。
業務委託の場合には,契約に基づいて顧客から業務に必要な情報や資源の提供を受けて,業務を遂行することがあります。このとき,提供を受けた情報や資源について,顧客から指定された管理方法によって管理するのか,自組織の管理下となるのか,すなわち適用範囲の内となるのか外になるのかという問題が生じます。
また,ISMSの適用範囲を組織の一部とした場合に,その組織が保有する情報であっても,ISMS適用範囲の内と外で境界を明らかにする必要があります。情報は組織全体で共有し管理していることが十分に考えられるため,そのような情報を適用範囲の内側の組織がどう管理するのかを明確にしておくことが求められます。
事業的境界
適用範囲を組織の一部に限定できるということは,組織によっては,ある特定の事業のみをISMSの適用範囲とすることが考えられますが,人的・組織的境界とあわせて,事業的な境界についても明確にする必要があります。
ただし,ある組織に事業という横串を刺したときに,部門を横断してしまうような場合は,注意が必要です。
「適用可能性」の意義
適用可能性とは,「その適用範囲でISMSを運用していくことは現実的かどうか」ということです。
例えば、適用範囲を組織の一部とする場合に、その適用範囲内に予算執行や業務遂行上の適切な権限がなければ,ISMSの運用は,形骸化したり行き詰まるかもしれません。
また、適用範囲の外の人員や部門との依存関係が,リスク対応やセキュリティ対策の妨げとなったり,組織の一部だけを適用範囲とすることが,ISMS構築・運用の障害となることも考えられるため,適用範囲を組織の一部に限定する場合には,適用可能性にも注意が必要です。
「他の組織が実施する活動との間のインタフェース及び依存関係」とは
組織の事業活動において,あるプロセスを外部に委託することがありますが,境界をどのように定義し,どこまでをISMSの適用範囲に含めるのかを明確にすることが重要となります。
例えば,ISMS適用範囲内の事業で利用している業務システムの運用・保守を外部に委託しているような場合や,業務の一部をアウトソーシングしている場合において,その外部の委託先やアウトソーシング先と組織が実施する活動との境界を明確にしたうえで,適用範囲を決定することが求められます。
構築・運用のポイント
ISMSの適用範囲は,ISMSを構築・運用するうえでも,また,認証審査においても大変重要な要素です。
ISMSの適用範囲を組織の一部に限定することは,ISMSの構築において,期間の短縮や難易度が下がるなどのメリットがある反面,ルールが複雑になったり,組織全体の活動に制約が生じたりする可能性がありますので,その判断には慎重さが求められます。
適用範囲の決定における重要事項
規格では,適用範囲を決定するにあたり,「4.1に規定する外部及び内部の課題」と「4.2に規定する要求事項」とあわせて,「組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係」を考慮したうえで適用範囲を決定することを要求しています。
つまり,① ISMSに取り組もうとする組織の外部および内部の状況や課題を把握し,② 利害関係者の期待や要求事項を明確にしたうえで,③ 組織が実施する活動と他の組織の活動との関係性を考慮して適用範囲を定めるよう求めているのです。
適用範囲の決定において重要とされる事項は,次の事項が挙げられます。
- ISMSの適用範囲となる組織の名称(適用範囲が組織の一部の場合には,部門名)
- ISMSの適用範囲となる拠点・施設の所在地
- ISMSの適用範囲となる事業・業務・サービスの内容
- 組織図(適用範囲が組織の一部の場合には,組織的境界)
- 情報システム構成図,ネットワーク図(技術的境界)
- 建物,フロアのレイアウト図(物理的境界)
適用範囲の文書化
規格は,「ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない」として,文書化を要求しています。”適用範囲記述書” や ”適用範囲定義書” といった文書名で,前述の重要7項目に加え,次の事項についても文書に含めておくと良いでしょう。
- 事業上の要求事項
- 法令・規制要求事項
- 利害関係者のセキュリティ要求事項
- 契約上のセキュリティ義務
文書化した情報は,適用範囲の決定後もISMSの構築・運用の過程において,適宜見直すことが求められます。