ISMS適用範囲の書き方
ISMSの認証をとって継続的に管理するなら、いっそ、規格を下敷きにする発想がある。既存の文書管理体系の整合上、メリットが無ければ電子的読み替え表をイントラネット内に実現した方が良いでしょう。
.*.
適用範囲定義書を作るときもある。別紙です。なぜなら、非常に機密性の高い文書になるため、一般のISMSに織り込んで配布するわけには行きません。
- ロケーション、レイアウト、物理的境界。管理境界線の強度を記載。壁か、単なるパーティションか、。ドアも施錠付きか、単なる式ドアか。電子錠か、物理キーか。監視カメラの所在。機密性が高いので、単に外部との境界線にとどめ、内部のセキュリティゾーニング(サーバールームとか特殊作業室などハイレベルセキュアゾーンの境界線設計)は更に別紙にする考え方もあります。境界線、ゾーニングの次は主要な情報資産のレイアウトを記載します。
- 技術的境界は、ネットワークの外部インタフェースについて、論理的及び物理的な状況(リスクと対応状況)を示す。外部のデータセンターなどを利用している場合、拠点が複数ある場合は、相互の接続状況も主要なリスクと対応状況とともに記載する。拠点内も、サーバールーム、無線LANアクセスポイント、特定プロジェクト用、外来者用などネットワークをセグメントしている場合は明記する。
- 通信ネットワーク以外に、電話線、電力線に付いてもケアしておく。定義書として記載しない場合は、何を参照すればよいかを理解しておく。落雷が多い地域などでは特に注意が必要。
- ロケーションと技術的境界は相互関係が多いので、更新時に抜け漏れが出ないように工夫する。
- 組織は組織図全体と適用範囲に含まれる組織とを明確にする。外部の組織が入り込んで常駐しているケース、外部の組織に常駐しているケースは、取り扱いを明記すること。単に組織図だけで済ますことが多いが、セキュリティ上の特徴を記載する観点からは、特別なビジネスパートナー(親会社、グループ会社、業務提携先なども)も記載する。ビジネスプロセスアウトソースを利用する場合は特に留意する必要がある。
- 組織の特性の最大のものは人数。従業員の特性も。正社員、派遣社員、業務委託社員別に人数を抑える。交代勤務の場合は延べ数とシフト時の最大人数・最少人数・平均など。クライアント先にほぼ常駐し、月に数日だけ出社するケースなども明示する。但し、人数は常時変動する性格を持つため、いつ時点の人数かが明確にする。見直しは年1回がミニマム。毎月見直す会社が普通。人事は月次だから。
- 適用範囲の事業・業務。約款べーすでなく、実際に行っている(実態を伴う)事業・業務を出来るだけ正確に(過不足の無いように)記述する。何々に関する事業全般などとはやってはいけない。機能の表現(動詞的表現)は特に注意する。取り扱い品目の表現(名詞的表現)は「等(など)」で繋いでも構わない。しかしながら、大企業の場合はこういう努力は殆ど無理かもしれない。
- 事業上のセキュリティに関する特徴についても記載する。情報の特徴:機微情報の取り扱いの有無。事業の特徴:24時間サービスの有無。社会的責任の大きさ。
- 法規制。特に注意すべき法規制内容。重要な契約の存在。契約が求めている重要事項。
繰り返すことになるが、以上の一切詳細を適用範囲定義書に記載する必要は無いが、いきなり「××書」参照の形は取らないこと。最低限のサマリーは記載すること。適用範囲の全体の特徴が概略理解できる必要はある。
適用範囲定義書は毎年見直す。セキュリティ上の特徴が追記される。正しくメンテナンスすることにより、これを見るだけで何をしなければいけないか自明になる。筈です。
.*.
