対象範囲を決めることができるISMS

対象範囲を決めることができるISMS

ISMSにしても、Pマークにしても、共通をすることは、外部の審査機関が審査を行い、客観的認証の基準に沿って、それぞれの規格に適合をしているかどんなふうにかを判断する適合性評価制度です。そして、個人の権利を保護するため、個人から個人情報の開示、追加、訂正、削除の要求があった場合、手順が決まっており、こうあるべきという枠組みが決まってます。

ISMSの場合は、Pマークとことなり、対象となる範囲を決める事ができますから、対象を全社とした場合、情報資産の中に個人情報が含まれますので、Pマークも含まれると思われガチですけど、ISMSを取得したからといってPマークは不要という事にはなりません。Pマークでは規格の求める個人情報に対象がなりますから、ISMSの対象である全ての情報資産に含まれてますが、規格の目的が違います。

Pマークの場合、顧客の個人情報を含め企業が保有をする個人情報の保護、及び提供をした個人の権利を保護する事を目的にしています。そのため、目的が違うため、その過程での企業がやるべき対策、対応はことなってきます。

それにたいして、ISMSの場合は、Pマーク同様、企業が保有の個人情報、及び提供をした個人の権利も保護しますが、情報資産全般を保護する仕組み作りを目的にして、その過程で社内の情報セキュリティルールを策定、および対策を実施し、プロジェクトの継続、存続する体制にすることを目的としています。Pマークの時は、規格上求められる文書、成果物には決まりがあるため、自社にとって必要なくても作成をしないといけない文書もあります。