ISO 27000規格の適用範囲は何ですか？

ISO 27000のドキュメントの範囲のうち、27001のみが認証可能な規格です。範囲内の他のものはガイダンスと助言文書です。

ISO 27001実装の最初のステップは、範囲の定義です。私の経験では、「ITプロセス」をスコープとして持つのは珍しいことです。これは通常、ビジネス領域によって定義されます。したがって、たとえば、ビジネスの運用部分（人事などのサポートビジネスユニットを除く）。

ISO 27001の一部の認定を受けることはできません。それは全部かゼロかです。

ISO 2700Xシリーズは、企業のセキュリティ管理を認定するものです。ちなみにあなたは27001で認定されています。

スコープは会社が定義します。そのためには、例外なく標準の要件（4〜8章）を実装します。

第4章は、デミングサークル（PDCA）を中心に展開し、ISMSのセットアップ、実装と活用、制御とレビュー、および拡張を定義します。

第5章は経営責任、第6章は内部監査、第7章はレビュー、第8章は是正措置と予防措置を扱います。

範囲の定義は、ISO27001の4.2.1 a章と4.2.1 b章に基づいています。組織の境界、情報システムの境界、物理的な境界の多くの側面を調べる必要があります。

通常、規範はガイドラインを提供します。スコープに含まれるべきものとそうでないものの正確な定義はありません。 ISO27002を参照して、優れたプラクティスを提供することもできます。