はじめに

ISMS認証を取得すると、認証書にオフィスの住所など「認証範囲」が記載されます。

しかし、認証取得後にオフィスの移転や支店立ち上げをすることになるケースも考えられます。

こうした場合に、ISMS認証を取得した企業が対応すべきことをご紹介します。

オフィス移転

オフィス移転をしたときに、必ず対応しなければならないことは「適用範囲の変更」です。

文書類で適用範囲を定義した箇所を新オフィスの住所に改訂する必要があります。

ネットワーク図やフロア図も新しいものを作成しましょう。

また、オフィス移転に伴って情報資産に変更がある場合は「情報資産の洗い出し」を行う必要があります。

新たに機器を購入する場合や、情報の保管場所が変わる場合などは最新の情報に更新しなければなりません。

加えて、新オフィスの物理的なセキュリティ状況に合わせてリスクアセスメントも実施する必要があります。

元のオフィスにはカードキーがあったが新しいオフィスではそれがなくなった、などの変化がある場合は要注意です。

最後に、新しいオフィスの状況に対して内部監査を実施する必要があります。

通常の内部監査のように部署を対象としたものではなく、オフィスの物理的セキュリティを全体的に確認するのが目的となります。

上記すべての対応が完了したら、審査機関に連絡して「移転審査」を受審し、認証範囲を更新しましょう。

支店立ち上げ

新しく支店を立ち上げたとき、その支店が認証範囲に含まれる場合には「適用範囲の変更」をしなければなりません。

文書類で適用範囲を定義した箇所に新たな支店の情報を追加する必要があります。

支店のフロア図やネットワーク図も準備しましょう。

また、新たな支店が増えて機器購入や管理する情報が増えることから、「情報資産の洗い出し」も実施しなければなりません。

リスクアセスメントも新支店の物理的状況や管理する情報資産に合わせて新たに実施する必要があります。

加えて、オフィス移転のケースと同様に新支店に対して内部監査を実施する必要があります。

こちらのケースでも、対象は全部署ではなく「新しい支店に所属する部署」だけを対象とした臨時の監査で問題ありません。

上記対応がすべて完了したら、オフィス移転と同様に審査を受ける必要があります。

もともとのオフィスに変更がなく、新たに拠点が増える場合に受ける審査は「拡大審査」と呼ばれます。

拡大審査を受審し、認証範囲を更新すれば完了です。

さいごに

オフィスを移転するときや支店を立ち上げるときはやるべきことが多くどうしても慌ただしくなりますが、情報セキュリティやISMS認証についても忘れずにご対応ください。