| ISMSの構築には相当な経営資産の投入が不可欠となるため、情報資産の重要度や費用対効果を考慮した上で、ISMSを導入する目的と範囲を明確にする必要があります。このISMS導入の目的と範囲は、事業者の代表者や役員が自ら意思決定した後、その内容を事業者内の全従業者に対して明示します。また、事業者の代表者や役員は、ISMS導入に積極的に関与し、その構築の推進にリーダーシップを発揮していきます。 |
| |
| 1.ISMSの構築目的 |
|
ISMSの構築目的を決定する場合には、以下の事項を考慮します。
@情報資産の有効的活用
A効果的な情報セキュリティー対策の実施
B情報資産の管理者とその責任の明確化
C従業者が遵守すべき情報セキュリティー方針・管理策の明確化
D情報技術・経営環境・社会情勢の変化に対応した情報セキュリティー体制の維持
E顧客や社会に対する信頼性の向上・維持
F事業活動における競争力の強化 |
| |
| 2.ISMSの適用範囲 |
|
ISMSの適用範囲を決定する場合には、以下の事項を考慮します。
@事業
事業者が複数の事業を行っている場合、ISMSを導入する事業をそれらの中から選択し、
その適用範囲を定めます。
A組織
事業者における全組織にISMSを導入するか、特定の単独または複数の組織に限定して導入
するかを選択し、その適用範囲を定めます。
B所在地
事業者が複数の事業拠点(本店・支店・営業所等)を持っている場合、事業者全体として
ISMSを導入するか、特定の単独または複数の組織に限定して導入するかを選択し、その
適用範囲を定めます。
C情報資産
事業者が取り扱う情報資産全体をISMSの対象とするか、特定の単独または複数の情報資産
を対象とするかを選択し、その情報資産を処理する業務プロセスに対して、適用範囲を
定めます。
D技術
情報資産を保有・処理するコンピュータネットワークシステムにおいて、そのシステム
全体 をISMSの対象とするか、特定のまたは複数のシステムを対象とするかを選択し、
その適用範囲を定めます。
ただし、コンピュータネットワークにおいては、多数のシステムが複合的に関係している
ため、適用範囲を限定する場合は、技術的・論理的な関連性を十分に検討した上で、その
適用範囲を決定する必要があります。 |
| |
| 3.適用範囲の決定についての留意点 |
|
ISMSの事業・組織・所在地・情報資産・技術の各項目における適用範囲は、漠然・抽象的に選定するのではなく、事業図・組織図やシステム構成図などに基づき、詳細・具体的にその範囲を示した上で、決定する必要があります。 |
| |
|
| 前ページへ |
Top Page