４．２．１a)　(適用範囲)

　会社は、ISMSの適用範囲(決めたISMSの通りに行う範囲)と境界をハッキリ決めて下さい。

　ハッキリさせるためには、以下の事を参考にして下さい。
　　・いくつもの事業をやっているならどの事業に適用するのか
　　・分社化しているなら、どの会社(名義の分)に適用するのか
　　・事業所がいくつもあるのなら、どこの事業所に適用するのか
　　・ある種類の情報資産だけに適用したいなら、どんな情報資産に適用するのか
　　・ある技術を用いた情報資産にだけ適用したいなら、その技術

　ある部分の「一部を除く」という様な適用範囲にしたい時には、1.2項を参照しながら、除く範囲もハッキリさせておいて下さい。

　【解説】会社の部署あるいは、事業所によって情報の取扱の方法が変わると混乱します。また、
　　ISMSの適用範囲から適用範囲外への社内の情報流出をいちいち問題にしなければならなく
　　なる事も避けたいものです。特別の事情がない限り、「全社の全情報資産」とした方が健康
　　的なISMSが組み立てられますし、運用は単純で済みます。

　【解説】ISMSの適用範囲は、情報セキュリティポリシーに書いて定める事が多いです。


４．２．１b)　（情報セキュリティポリシー）

　会社は、『情報セキュリティポリシー(方針)』を定めて下さい。もちろん、そのポリシーは定めた適用範囲の事業の内容、会社、事業所、情報資産の種類、技術にふさわしくなければなりません。また、そのポリシーは、以下の様になるように定めて下さい。

　１．情報セキュリティについて、どこまでのレベルを目指すのかという事を決めるための考え方
　　　が書かれている。
　２．情報セキュリティについて、どんな事をしなければならないかという原則が書かれている。
　３．会社の仕事上、必ずやらなければならない事が考えに入っている。
　４．法律的に、必ずやらなければならない事が考えに入っている。
　５．お客さんとの約束（契約）上、必ずやらなければならない事が考えに入っている。
　６．情報セキュリティ面を総合的に見て、会社が置かれている状態や、既に行っている取り組み
　　　とチグハグになっていない。
　７．リスクを評価する時にどんなランクにするかという基準が書かれている。
　８．リスクアセスメントの行い方のあらましが書かれている。

　情報セキュリティポリシーは、社長さんに承認してもらっていなければなりません。

　【解説】６．「総合的に見て、会社が置かれている状態」とは、例えば
　　　・会社はどんな情報を取り扱っていて、どれくらい大切なのかという事
　　　・会社にはどんな情報機器があって、どんな処理をしているのかという事
　　　・会社のネットワークはどんな様子になっているのかという事
　　　・会社の拠点間通信や、外出先からの社内ネットワークへのアクセスはどうしているのか
　　　　という事
　　　・公開しているサーバーにはどの様なものがあって、社内ネットワークとの関係はどうなって
　　　　いるのかという事
　　などが考えられます。但し、「結果的にこの様にやっているが、何か考えがあってやっている
　　わけではない」様な事まで考える必要はありません。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則