• ISMS適用宣言書とは、管理策のうち自社で適用・除外する項目や除外理由を記した文書のこと
  • ISMS適用宣言書は、ISMS認証取得するために必須の文書

ISMS認証ISO27001)を取得する際には、ISMS適用宣言書の作成が欠かせません。社内でのセキュリティ体制の管理だけでなく、外部にも自社のセキュリティ体制を示すうえで重要な文書です。

しかし、はじめてISMS認証を取得する企業にとっては、ISMS適用宣言書がよくわからない場合も多いでしょう。

そこで、この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説します。また作成の具体例や書式サンプルも紹介しますので、作成の参考にしてください。

目次

ISMS適用宣言書とは?

ISMS適用宣言書とは、ISO27001(ISMS)の附属書Aに記載されている管理策において、「自社で適用する項目」「除外する項目」、「適用もしくは除外する理由」を記載した文書です。

附属書Aには、情報セキュリティ管理策の一覧(93個)が記載されており、そのすべてを自社に適用する必要はありません。そのため、ISMS適用宣言書によって適用・除外する項目とその理由を記載し、公開することが求められます。

なお、ISMS適用宣言書の作成は、ISO27001の要求事項によって義務付けられています。

ISMS適用宣言書の必要性

ISMS適用宣言書を作成する必要性は、「組織内外に対して、自社の情報セキュリティに対する方針や実施する対策を明確に示すこと」にあります。ISO27001を取得するには、ISMS適用宣言書の作成が義務付けられていることからも、その重要性がわかります。

具体的には、ISMS適用宣言書には以下のような役割があります。

  • 自社の情報セキュリティに関する方針や実施状況の明確化・周知
  • 自社で「適用する管理策」・「除外する管理策」とその理由の明示
  • リスクアセスメントの結果に基づいて管理策を選定したという根拠の提示
  • 内部監査や外部審査において、組織のセキュリティ対策の妥当性を説明するための根拠となる
  • ISMSの運用や改善を行う際の指針として活用できる

これらの点を適切に示すことで、組織の情報セキュリティ対策が実態に即して計画・実施されていることを第三者に証明できます。
一方で、ISMS適用宣言書の内容が不十分または不適切であると、管理策の有効性や網羅性に疑問をもたれ、内部監査や登録審査で指摘を受ける可能性もあります。

したがって、ISMS適用宣言書は形式的な書類ではなく、組織の信頼性と情報セキュリティ体制を裏付ける重要な文書として適切に作成・運用することが求められます。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

ISMS適用宣言書に記載する内容

ISMS適用宣言書には、「管理策」を記載します。そもそも管理策とは、「附属書Aに記載されている、情報セキュリティリスクにおける93項目の対策」です。

ISMS適用宣言書には、93個の管理策を「適用する管理策」と「除外する管理策」に分けて記載します。具体的には、以下の4項目について示す必要があります。

  • 適用する管理策とその規格番号
  • 適用する管理策の選択理由
  • 除外する管理策とその規格番号
  • 除外する管理策の除外理由

規格番号の順番どおりに記載する

例えば、「管理策5.23:クラウドサービスの利用における情報セキュリティ」を除外する場合であれば、「クラウドサービスを利用していないため」といった除外理由が考えられます。

1.管理策を把握する

まずは、附属書Aに記載されている93項目の管理策について内容を把握しましょう。93項目の管理策は、以下の4つのカテゴリに分類されています。

組織的な対策
(37項目)		適切にISMSを構築・運用するための対策
人的な対策
(8項目)		従業員によるミスや内部不正など、人によるリスクへの対策
物理的な対策
(14項目)		不法侵入や災害などによるリスクから、建物や設備を保護するための対策
技術的な対策
(34項目)		ウイルス対策や不正アクセスなどによるリスクから、ソフトウェアなどを保護するための対策
関連記事:【2023最新版】ISO/IEC27001(ISMS)の改訂内容とは?

2.適用・除外する管理策を選定する

管理策の内容を把握したら、それぞれの項目において適用もしくは除外するかどうかを選択します。

管理策を適用する場合には、自社で運用する場合の方法やコストなどを具体的に検討しましょう。
一方、除外する管理策を決定する際には、「大変だからやらない」といった理由は適切ではありません。のちほど詳しく解説しますが、除外する場合には合理的な理由が必要になります。

管理策93項目中、0~10項目程度が適用除外となり、ほとんどの管理策は実行することが一般的です。

3.適用宣言書に落とし込む

適用・除外する管理策が決まったら、ISMS適用宣言書を作成します。除外する場合には、その理由もあわせて記載することが必要です。

またISMS適用宣言書を作成するとともに、管理策内容を実際に運用できるようにルール・マニュアルを明確にしましょう。

【サンプル】ISMS適用宣言書の具体例

ISMS適用宣言書の具体例を作成しましたので、自社で作成する際の参考にしてください。
ISMS適用宣言書サンプル

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

ISMS適用宣言書作成の注意点

ここでは、ISMS適用宣言書を作成する際の注意点を解説します。

適用除外がある場合、合理的な理由が必要

ISMS適用宣言書では、附属書Aに記載された93項目の管理策すべてを自社に適用する必要はありません。しかし、除外した管理策については、合理的な理由を明確に示すことが求められます。

例えば、「該当する業務が存在しない」「業務の性質上、リスクが極めて低い」など、リスクアセスメントに基づいた正当な理由である必要があります。「コストや工数を減らしたい」といった理由では、審査の際に指摘を受ける可能性が高くなります。

リスクアセスメントとの整合性を保つ

ISMS適用宣言書は、リスクアセスメントの結果に基づいて作成する必要があります。

そもそもリスクアセスメントとは、自社の情報資産を守るために「情報セキュリティリスクを特定し、特定したリスクにおいて脅威脆弱性・影響などを分析し、評価するプロセス」のことです。
その評価結果を踏まえ、どの管理策を適用すべきかを判断します。したがって、 リスク評価と管理策の選定に一貫性がない場合、ISMS適用宣言書の信頼性が損なわれる可能性があります。

例えば、リスクアセスメントで「物理的なセキュリティリスクが高い」と評価されたにもかかわらず、物理的アクセス制御に関する管理策を除外してしまうと、整合性を欠くと見なされ、審査で指摘を受ける可能性があります。

またリスクアセスメントを実施した結果、「リスク受容(リスクが発生した際の影響を受け入れること)する」「自社に該当しない」と判断した場合には、管理策を除外することも可能です。

関連記事:ISMS(ISO27001)の適用範囲の決め方とは?ポイントを解説
関連記事:ISO27001(ISMS)情報セキュリティリスクアセスメントとは?目的や手順を解説

審査でよくあるISMS適用宣言書の不備

ISMS適用宣言書は、ISO27001認証審査において重要な文書です。記載内容に不備があると、審査員から「整合性が取れていない」「説明が不十分」などと指摘を受ける可能性があります。

審査でよくあるISMS適用宣言書の不備をまとめたので、参考にしてください。

除外管理策の理由が不明確

「自社には該当しないため」といった曖昧な表現だけでは不十分です。どのような業務体制や業務範囲から判断して除外したのかについて、具体的な根拠を明示する必要があります。

リスク評価結果との関係性が不明確

管理策の採用・除外理由が、リスクアセスメント結果と結び付いていないケースです。ISMS適用宣言書は、あくまでリスク評価の結果を反映した内容である必要があります。

運用現場と実態が一致していない

文書上では「管理策を適用」と記載していても、実際には運用されていない、または形骸化しているケースがあります。この場合、「文書だけ整っていて実態が伴っていない」と判断され、不適合の指摘につながる恐れがあります。

ISMS適用宣言書を見直す際のポイント

ISMS適用宣言書は、一度作成して終わりではなく、定期的な見直し・更新が求められる文書です。
情報セキュリティを取り巻く環境は、IT技術の進化や社会のニーズ、業務内容の変化により、変動します。そのため、組織の現状やリスク評価結果に合わせてISMS適用宣言書を最新の状態に保つことが重要です。

ここでは、ISMS適用宣言書を見直すタイミングや確認すべきポイントについて解説します。

ISMS適用宣言書を見直すタイミング

ISMS適用宣言書は、少なくとも年に1回、または以下のような状況が発生した際に見直すことが大切です。

  • 内部監査やマネジメントレビューの実施後
  • 新たなリスクや脅威が発見されたとき
  • 事業内容・組織体制の変更時
  • 規格や法令の改訂があった場合

こうしたタイミングで見直すことで、審査時に不適合を指摘されにくくなるだけでなく、文書内容と現場での運用の乖離を防ぎます。

見直す際の確認ポイント

見直しの際には、以下のポイントを確認しましょう。ISMS適用宣言書の有効性を維持することにつながります。

  • 会社の現状に適しているか
  • リスクアセスメント結果との整合性が取れているか
  • 発生したインシデントや監査結果が反映されているか
  • 実際の運用で確実に実施されているか

定期的な見直しを通じて、ISMS適用宣言書を「実効性のある文書」として維持することが、組織のISMSの継続的改善にも寄与します。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

まとめ

この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説しました。

現在ISO27001の管理策は93個にわたり提示されています。これら一つひとつについて、自社のルールと照らし合わせて、適合・除外を決めていくことが必要です。そのため自社のルールだけでなく管理策に対する理解も求められます。

ISMS適用宣言書の作成に不安がある場合は、ISMSの取得サポートをプロのコンサルに相談することがおすすめです。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ