【サンプルあり】ISMS適用宣言書とは?必要性や作成方法を解説
- ISMS適用宣言書とは、管理策のうち自社で適用・除外する項目や除外理由を記した文書のこと
- ISMS適用宣言書は、ISMS認証取得するために必須の文書
ISMS認証(ISO27001 )を取得する際には、ISMS適合宣言書の作成が欠かせません。社内でのセキュリティ体制の管理だけでなく、外部にも自社のセキュリティ体制を示すうえで重要な文書です。
しかしはじめてISMS認証を取得する場合、ISMS適合宣言書についてよくわからないという企業も多いでしょう。
そこで、この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説します。また作成の具体例や書式サンプルも紹介しますので、作成の参考にしてください。
目次
ISMS適用宣言書とは
ISMS適用宣言書とは、ISMS認証(ISO27001)の附属書Aにある管理策において、自社で適用する項目と除外する項目、その理由を記載した文書です。
| 附属書A | 情報セキュリティリスクを低減するための管理目的と、その目的の管理策をまとめたリスト。具体的には、要求事項を満たすマネジメントシステムを構築・運用するための具体的な方法や対策をまとめている。 |
|---|---|
| 管理策 | 附属書Aに記載されている、情報セキュリティリスクにおける93項目の対策。 |
ISMS適用宣言書の必要性
ISMS適用宣言書を作成する必要性は、「ISMS認証を取得するのに必要だからという以外にも、組織の内外においても周知するため」という意義があります。
以下に、ISMS適用宣言書を作成し、組織の内外に周知することによる効果をまとめました。
| 社内における必要性 |
|
|---|---|
| 社外における必要性 |
|
ISMS適用宣言書に記載する内容
ISMS適用宣言書には、主に以下の内容を記載します。
- 適用する管理策とその規格番号
- 適用する管理策の選択理由
- 除外する管理策とその規格番号
- 除外する管理策の除外理由
適用する管理策と除外する管理策は、規格番号の順番どおりに記載しましょう。
また、管理策の特定の項目を選択した場合には、その管理策に対応する関連文書を明記しても構いません。
詳しい記載内容については、のちほど具体例を交えて紹介します。
ISMS適用宣言書に記載する「管理策」とは
管理策とは、情報セキュリティ管理策のことです。例えば、サイバー攻撃や内部不正などの情報セキュリティリスクに対する対策のことです。
ISO/IEC27001:2022の附属書Aには、93項目の管理策が記載されています。93項目の管理策は、以下の4つのカテゴリに分類されています。
| 組織的な対策 (37項目) | 適切にISMSを構築・運用するための対策 |
|---|---|
| 人的な対策 (8項目) | 従業員によるミスや内部不正など、人によるリスクへの対策 |
| 物理的な対策 (14項目) | 不法侵入や災害などによるリスクから、建物や設備を保護するための対策 |
| 技術的な対策 (34項目) | ウイルス対策や不正アクセスなどによるリスクから、ソフトウェアなどを保護するための対策 |
ISMS適用宣言書を作成する3つの手順
ここでは、ISMS適用宣言書を作成する3つの手順を解説します。
1.管理策を把握する
まずは、附属書Aに記載されている93項目の管理策について内容を把握しましょう。
各管理策の概要や目的、方法を理解することで、自社で適用すべきかどうかを判断できるようになります。
2.適用・除外する管理策を選定する
管理策の内容を把握したら、それぞれの項目において適用もしくは除外するかどうかを選択します。管理策を適用する場合には、自社で運用する場合の方法やコストなどを具体的に検討しましょう。
一方、除外する管理策を決定する際には、「大変だからやらない」といった理由は適切ではありません。のちほど詳しく解説しますが、除外する場合には合理的な理由が必要になります。
3.適用宣言書に記載する
適用・除外する管理策が決まったら、適用宣言書を作成します。除外する場合には、その理由も併せて記載することが必要です。
また適用宣言書を作成するとともに、管理策内容を実際に運用できるようにルール・マニュアルを明確にしましょう。
【サンプル】ISMS適用宣言書の具体例
ISMS適用宣言書の具体例を作成しましたので、自社で作成する際の参考にしてください。
■目的
当社の情報セキュリティマネジメントシステム(以下ISMS)の構築及び運用にあたり、一般財団法人日本規格協会が発行する「ISO/IEC27001:2022(JISQ27001:2022)情報セキュリティマネジメントシステムの国際規格」の附属書Aに記載された管理目的及び管理策の各規定項目に対して宣言したものである。
■管理策の適用・除外一覧表
※適用欄(適用:〇、適用除外:×、管理策を実施していない:△)
| ISO27001管理策 | 適用欄 | 適用の根拠 | 理由 | 実施有無 |
|---|---|---|---|---|
| 5 組織的管理策 | ||||
| 5.1 情報セキュリティのための方針群 | 〇 | 情報セキュリティに関する各方針を従業員や利害関係者に共有することで、方針に沿った情報セキュリティ体制が正確に実施され、方針の内容が適切であることを確実にするため | 〇 | |
| 5.2 情報セキュリティの役割及び責任 | 〇 | 情報セキュリティに関する社内の役割や責任を明確化するため | 〇 | |
| 5.3 職務の分離 | 〇 | 不正使用のリスクやオペレーションミスを防ぐため | 〇 | |
| 5.4 管理層の責任 | 〇 | 経営陣が、情報セキュリティにおける自らの役割を理解し、組織の方針及び手順に従った情報セキュリティの適用を、すべての従業員及び契約相手に要求するため | 〇 | |
| 5.5 関係当局との連絡 | 〇 | 情報セキュリティ上の緊急時への迅速な対応を行い、行政等との適切な連絡体制を維持するため | 〇 | |
| 5.6 専門組織との連絡 | 〇 | 組織内で対応できない専門的な対応について、外部の情報セキュリティ専門家より助言を受けるため | 〇 | |
| 5.7 脅威インテリジェンス | 〇 | 組織の脅威インテリジェンスを構築し、適切な低減処置を講じることができるようにするため | 〇 | |
| 5.8 プロジェクトマネジメントにおける情報セキュリティ | 〇 | 特定のプロジェクトマネジメントにおいても、情報セキュリティの取り組みを確実に行うため | 〇 | |
| 5.9 情報及びその他の関連資産の目録 | 〇 | 管理責任者を明確にし、情報資産を適切に管理するため | 〇 | |
| 5.10 情報及びその他の関連資産の許容される利用 | 〇 | 情報資産利用者に対して、その利用範囲を明確にし、情報資産に応じた取り扱いを適切に行うため | 〇 | |
| 5.11 資産の返却 | 〇 | 情報資産の返却を確実に行うため | 〇 | |
| 5.12 情報の分類 | 〇 | 機密性、完全性、可用性から評価した情報資産の重要度を認識・分類し、適切な管理策を実施するため | 〇 | |
ISMS適用宣言書作成の注意点
ISMS適用宣言書を作成する際の注意点は、「適用除外とする理由が適切かどうかを見極めること」です。
リスクアセスメントを実施した結果、「リスク受容(リスクが発生した際の影響を受け入れること)する」「自社に該当しない」と判断した場合に、除外すると決定します。その際には、除外すると判断した証拠についても用意することが必要です。
そのため、93項目中0~10項目程度が適用除外となり、ほとんどの管理策は実行することが一般的です。
まとめ
この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説しました。
現在ISO27001の管理策は93個にわたり提示されています。これら一つひとつについて、自社のルールと照らし合わせて、適合・除外を決めていくことが必要です。そのため自社のルールだけでなく管理策に対する理解も求められます。
適用宣言書の作成に不安がある場合は、ISMSの取得サポートをプロのコンサルに相談することがおすすめです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい