4.2.1a) 適用範囲
適用範囲を少なくとも5つの観点から情報セキュリティとの関連で特徴を明らかにすること;
適用範囲を少なくとも5つの観点から情報セキュリティとの関連で特徴を明らかにすること;
①事業、②組織、③ロケーション、④資産、⑤技術
①顧客やパートナー企業との関連、ビジネスプロセス、商品・サービスの観点から、ISMSの適用範囲を定義すること。
②組織体制、役割分担、関連部門とのIF
③地理的・地域的(洪水低地/構想ビル/飲食街/ギャンブル場)、敷地的(門/塀/カメラ/守衛/電磁波漏洩)、建物構造(耐火/耐震/雑居ビル)、階層断面図(昇降機/階段/非常階段)、フロア構造(ドア/窓/業務GRパーティション)。重要な情報資産の配置(サーバー/PC/PBX/アンテナ類/シュレッダー/プリンター/コピー/FAX/廃棄物処理場)。
④どうも情報資産だけで話を済ませることが多い。事業上の資産は事業の特徴で述べる。
⑤技術の記載は難しい。イメージが湧かないから。情報セキュリティに関連する重要な技術要素となると、ネットワーク関連、暗号化関連、認証関連かな。ネットワーク情報資産でもあるからその辺の整理は必要か。研究開発に関連する技術はやはり事業上の特徴、または情報資産の特徴として記述した方が分かり易い。
※ 所謂「適用範囲」。此れは思った以上に重要。プロジェクトで言えばスコープに相当するところ。最初のボタンで何度も試行錯誤して収まるのが実態ではなかろうか。
