【サンプルあり】ISMS適用宣言書とは？必要性や作成方法を解説

ISMS適用宣言書とは、管理策のうち自社で適用・除外する項目や除外理由を記した文書のこと
ISMS適用宣言書は、ISMS認証取得するために必須の文書

ISMS認証（ISO27001 ）を取得する際には、ISMS適用宣言書の作成が欠かせません。社内でのセキュリティ体制の管理だけでなく、外部にも自社のセキュリティ体制を示すうえで重要な文書です。

しかし、はじめてISMS認証を取得する場合、ISMS適用宣言書についてよくわからないという企業も多いでしょう。

そこで、この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説します。また作成の具体例や書式サンプルも紹介しますので、作成の参考にしてください。

ISMS適用宣言書とは
- ISMS適用宣言書の必要性
- ISMS適用宣言書に記載する内容
ISMS適用宣言書に記載する「管理策」とは
ISMS適用宣言書を作成する3つの手順
【サンプル】ISMS適用宣言書の具体例
ISMS適用宣言書作成の注意点
- リスクアセスメントとの整合性を保つ
- 審査でよくあるISMS適用宣言書の不備
まとめ

ISMS適用宣言書とは

ISMS適用宣言書とは、ISO27001（ISMS）の附属書Aに記載されている管理策において、「自社で適用する項目」「除外する項目」、「適用もしくは除外する理由」を記載した文書です。

附属書Aには、情報セキュリティ管理策の一覧（93個）が記載されており、そのすべてを自社に適用する必要はありません。そのため、ISMS適用宣言書によって適用・除外する項目とその理由を記載し、公開することが求められます。

なお、ISMS適用宣言書の作成は、ISO27001の要求事項によって義務付けられています。

ISMS適用宣言書の必要性

ISMS適用宣言書を作成する必要性は、「組織内外に対して、自社の情報セキュリティに対する方針や実施する対策を周知できる」という点にあります。

具体的には、以下の点をISMS適用宣言書によって周知できます。

自社の情報セキュリティに関する方針や実施状況の周知
自社で適用する・除外する情報セキュリティ対策の周知
リスクアセスメントの結果に基づいて選定されたという根拠の周知

こうした点を周知できるため、情報セキュリティ対策が組織の実態に即して適切に計画・実施されているかどうかを、第三者が判断するための根拠となります。
適用宣言書が不十分もしくは不適切であると、管理策の網羅性や有効性が疑問視されることになり、内部監査や登録審査時に指摘を受ける可能性もあります。

ISMS適用宣言書に記載する内容

ISMS適用宣言書には、主に以下の内容を記載します。

適用する管理策とその規格番号
適用する管理策の選択理由
除外する管理策とその規格番号
除外する管理策の除外理由

適用する管理策と除外する管理策は、規格番号の順番どおりに記載しましょう。
また、管理策の特定の項目を選択した場合には、その管理策に対応する関連文書を明記しても構いません。

詳しい記載内容については、のちほど具体例を交えて紹介します。

ISMS適用宣言書に記載する「管理策」とは

管理策とは、「附属書Aに記載されている、情報セキュリティリスクにおける93項目の対策」です。

例えば、「5.23クラウドサービスの利用における情報セキュリティ」では、組織がクラウドサービスを利用する際の方針の策定やリスク分析、規程や手順の策定などを実施する管理策となっています。

間違えやすい言葉に「要求事項」がありますが、要求事項とは、ISO27001を取得するための基本要件のことです。すべての組織が、ISO27001の適用範囲において対応する必要があります。

ISO/IEC27001:2022の附属書Aには、93項目の管理策が記載されています。93項目の管理策は、以下の4つのカテゴリに分類されています。

組織的な対策（37項目）	適切にISMSを構築・運用するための対策
人的な対策（8項目）	従業員によるミスや内部不正など、人によるリスクへの対策
物理的な対策（14項目）	不法侵入や災害などによるリスクから、建物や設備を保護するための対策
技術的な対策（34項目）	ウイルス対策や不正アクセスなどによるリスクから、ソフトウェアなどを保護するための対策

ISMS適用宣言書を作成する3つの手順

ここでは、ISMS適用宣言書を作成する3つの手順を解説します。

1.管理策を把握する

まずは、附属書Aに記載されている93項目の管理策について内容を把握しましょう。
各管理策の概要や目的、方法を理解することで、自社で適用すべきかどうかを判断できるようになります。

2.適用・除外する管理策を選定する

管理策の内容を把握したら、それぞれの項目において適用もしくは除外するかどうかを選択します。

管理策を適用する場合には、自社で運用する場合の方法やコストなどを具体的に検討しましょう。
一方、除外する管理策を決定する際には、「大変だからやらない」といった理由は適切ではありません。のちほど詳しく解説しますが、除外する場合には合理的な理由が必要になります。

管理策93項目中0～10項目程度が適用除外となり、ほとんどの管理策は実行することが一般的です。

3.適用宣言書に落とし込む

適用・除外する管理策が決まったら、ISMS適用宣言書を作成します。除外する場合には、その理由も併せて記載することが必要です。

また適用宣言書を作成するとともに、管理策内容を実際に運用できるようにルール・マニュアルを明確にしましょう。

【サンプル】ISMS適用宣言書の具体例

ISMS適用宣言書の具体例を作成しましたので、自社で作成する際の参考にしてください。

■目的
当社の情報セキュリティマネジメントシステム（以下ISMS）の構築及び運用にあたり、一般財団法人日本規格協会が発行する「ISO/IEC27001:2022(JISQ27001:2022)情報セキュリティマネジメントシステムの国際規格」の附属書Aに記載された管理目的及び管理策の各規定項目に対して宣言したものである。

■管理策の適用・除外一覧表
※適用欄（適用：〇、適用除外：×、管理策を実施していない：△）

ISO27001管理策	適用欄	理由	実施有無
5　組織的管理策
5.1 情報セキュリティのための方針群	〇	情報セキュリティに関する各方針を従業員や利害関係者に共有することで、方針に沿った情報セキュリティ体制が正確に実施され、方針の内容が適切であることを確実にするため	〇
5.2 情報セキュリティの役割及び責任	〇	情報セキュリティに関する社内の役割や責任を明確化するため	〇
5.3 職務の分離	〇	不正使用のリスクやオペレーションミスを防ぐため	〇
5.4 管理層の責任	〇	経営陣が、情報セキュリティにおける自らの役割を理解し、組織の方針及び手順に従った情報セキュリティの適用を、すべての従業員及び契約相手に要求するため	〇
5.5 関係当局との連絡	〇	情報セキュリティ上の緊急時への迅速な対応を行い、行政等との適切な連絡体制を維持するため	〇
5.6 専門組織との連絡	〇	組織内で対応できない専門的な対応について、外部の情報セキュリティ専門家より助言を受けるため	〇
5.7 脅威インテリジェンス	〇	組織の脅威インテリジェンスを構築し、適切な低減処置を講じることができるようにするため	〇
5.8 プロジェクトマネジメントにおける情報セキュリティ	〇	特定のプロジェクトマネジメントにおいても、情報セキュリティの取り組みを確実に行うため	〇
5.9 情報及びその他の関連資産の目録	〇	管理責任者を明確にし、情報資産を適切に管理するため	〇
5.10 情報及びその他の関連資産の許容される利用	〇	情報資産利用者に対して、その利用範囲を明確にし、情報資産に応じた取り扱いを適切に行うため	〇
5.11 資産の返却	〇	情報資産の返却を確実に行うため	〇
5.12 情報の分類	〇	機密性、完全性、可用性から評価した情報資産の重要度を認識・分類し、適切な管理策を実施するため	〇

ISMS適用宣言書作成の注意点

ここでは、ISMS適用宣言書を作成する際の注意点を解説します。

リスクアセスメントとの整合性を保つ

「自社に適用すべき管理策をどうやって判断すべきか」と感じる方も多いでしょう。実は、ISMS適用宣言書は、リスクアセスメントの結果に基づいて作成する必要があります。

そもそもリスクアセスメントとは、自社の情報資産を守るために「情報セキュリティリスクを特定し、特定したリスクにおいて脅威・脆弱性・影響などを分析し、評価するプロセス」のことです。

そして、リスク対策を立案する際に参照するものが、ISO27001の管理策です。そのため、リスク評価の結果と管理策の選定に一貫性がないと、適用宣言書の信頼性が損なわれる可能性が高くなります。
例えば、リスクアセスメントの結果、「物理的セキュリティリスク」のリスク評価が高い値だったのにもかかわらず、物理的なアクセス制御に関する管理策が適用対象から除外されている場合、整合性が問われることになります。

またリスクアセスメントを実施した結果、「リスク受容（リスクが発生した際の影響を受け入れること）する」「自社に該当しない」と判断した場合には、除外することを決定します。その際には、除外すると判断した証拠についても用意することが必要です。

関連記事：ISMS（ISO27001）の適用範囲の決め方とは？ポイントを解説