この認証が及ぶ範囲を特定するのが適用範囲。実態とぴったり合っているのが望ましいが、組織も生きている動的な存在だから、ぴったりとは行かない。
誰が書くんだろう?
この範囲で認証取得したいと経営者が企てるのだから、始めに適用範囲ありきだね。多分。審査員はどちらかといえば承認する役割になる。
どのように書くんだろう?
会社定款はこれから実施することも記載するが、認証は実績に対して発行するので、定款を持ってきても駄目だ。組織と事業の実態が必要。ミッションより実績が本来なんだろうね。
.*.
この適用範囲が、聞けば、結構いい加減に記載されていることもあるらしい。将来を先取りして汎用的な記載に走る例もあるとか。先取りは基本NGです。巧みにすり抜けたら大層な適用範囲の表現になるが実態が寂しい。針小棒大型?。世間に公開するものだから大袈裟な表現になるもしようがないかな。程度問題ですね。
.*.
ところで、規格書の始めのところ(4.2.1)でも適用範囲について要件を記載している。組織、ロケーション、事業、技術、法規制のセキュリティの側面を踏まえて適用範囲は明確にされるべきみたいだが、それらが網羅された内容の認証書って存在するのかな。
.*.
認証を取得した会社の人に聞くと、事業者名(会社名)、組織名(適用範囲部門名)、事業または業務内容、住所(所謂サイト)あたりが記載されている。どういう関連か分からないが、適用宣言書の特定もしているようだ。
要するに、「どの場所の、どの部門の、どの業務」が適用範囲に相当するらしい。これらを「どの会社の」で括ると業務内容は、各部門の業務を集約した内容になる。
会社全体の業務に含まれるものが、部門に展開したら消えてしまうなどは多分駄目でしょう。一致していないと拙いらしい。スコープ表現の妥当性を検証することも出来るわけですね。
提供宣言書も理屈上は全社サマリー版と部門・サイト・業務別の個別版が本当は存在するんだろうね。例は少ないようだが、実際に全社版・部門版の適用宣言書、要するに適用管理策一覧を用意しているところもあるようです。管理策の整合性を点検できる訳ですね。
.*.
適用範囲定義書
そういう文書があるとすると、規格の4.2.1に相当する部分を記載することになるだろうが、認証書の適用範囲を冒頭に記載しておくのは、全体の枠組みを正しく理解するためには悪いアイデアではない。
.*.
