ISMSを始めるにあたって、一番最初にやるのは、どこからどこまでのセキュリティを守りたいのか、範囲を決めることだ。
範囲といってもその範囲自体に、いくつか種類がある。
・
事業 行っている事業はどんなものがあるだろう。そのなかで、何に対してISMSを適用するべきだろうか。
・
組織 組織は、先に述べたとおり、山口大学なら、たくさんある組織のうちの情報基盤センターだけに限定した。
・
所在地 所在地については、山口大学が3キャンパスあって、それぞれに情報基盤センターがあるので、それ全て、ということになる。
・
資産 持っている資産についても、何をISMS適用範囲に含めるのかを考えなくてはならない。
・
技術 その資産を維持、管理するために必要になる特別な技術がある場合は、その技術も適用内ということになる。
どこからどこまでを適用範囲とし、ISMSの外との境界をはっきりさせる。
また、規格書には範囲から除外したものについては、どうして適用範囲から外したのか、理由をはっきりさせる、とあるが、
適用範囲内に入れたものについて理由がはっきりしていれば、おのずとこちらもはっきりするのではないかと思う。