【サンプルあり】ISMS適用宣言書とは?必要性や作成方法を解説
- ISMS適用宣言書とは、管理策のうち自社で適用・除外する項目や除外理由を記した文書のこと
- ISMS適用宣言書は、ISMS認証取得するために必須の文書
ISMS
認証
(ISO27001
)を取得する際には、ISMS適合宣言書の作成が欠かせません。社内でのセキュリティ体制の管理だけでなく、外部にも自社のセキュリティ体制を示すうえで重要な文書です。
しかしはじめてISMS認証を取得する場合、ISMS適合宣言書についてよくわからないという企業も多いでしょう。
そこで、この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説します。また作成の具体例や書式サンプルも紹介しますので、作成の参考にしてください。
目次
ISMS適用宣言書に記載する「管理策」とは
管理策とは、情報セキュリティ管理策のことです。例えば、サイバー攻撃や内部不正などの情報セキュリティリスクに対する対策のことです。
ISO/IEC27001:2022の附属書Aには、93項目の管理策が記載されています。93項目の管理策は、以下の4つのカテゴリに分類されています。
- 組織的な対策:適切にISMSを構築・運用するための対策
- 人的な対策:従業員によるミスや内部不正など、人によるリスクへの対策
- 物理的な対策:不法侵入や災害などによるリスクから、建物や設備を保護するための対策
- 技術的な対策:ウイルス対策や不正アクセスなどによるリスクから、ソフトウェアなどを保護するための対策
管理策と要求事項の違い
ISO27001について調べているうちに、「要求事項」と「管理策」を混同してしまう人もいるでしょう。要求事項と管理策は全く別物であるため、それぞれの意味を理解しておきましょう。
要求事項
ISO27001を取得するために、企業が必ず実現しなければならない基本要件のこと。以下の10項目が設けられている。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
管理策
附属書Aに記載されている、情報セキュリティリスクにおける93項目からなる対策。企業が適用・除外を選択できる。
ISMS適用宣言書とは
ISMS適用宣言書とは、ISMS認証(ISO27001)の附属書Aにある管理策のうち、自社で適用する項目と除外する項目と、その理由を記載した文書です。
附属書Aとは、情報セキュリティリスクを低減するための管理目的と、その目的の管理策をまとめたリストです。要求事項を満たすマネジメントシステムを構築・運用するための具体的な方法や対策をまとめています。
ISMS適用宣言書を作成する理由
ISMS適用宣言書を作成する理由は、ISMS認証を取得するのに必要だからという以外にも、組織の内外においても周知する意義があります。
まず、社内においてはISMS適用宣言書を作成することで、自社で取り組むべき管理策が明確化します。自社に適した管理策を選択することで、現場の実情に合った情報セキュリティマネジメントシステムの構築・運用が可能です。
また社外においては、組織が実施するセキュリティ対策を明示できます。取引先や顧客からの信頼の獲得につながるでしょう。
ISMS適用宣言書に記載する内容
ISMS適用宣言書には、主に以下の内容を記載します。
- 適用する管理策とその規格番号
- 適用する管理策の選択理由
- 除外する管理策とその規格番号
- 除外する管理策の除外理由
適用する管理策と除外する管理策は、規格番号の順番どおりに記載しましょう。
また、管理策の特定の項目を選択した場合には、その管理策に対応する関連文書を明記しても構いません。
詳しい記載内容については、のちほど具体例を交えて紹介します。
ISMS適用宣言書を作成する流れ
ここでは、ISMS適用宣言書を作成する流れを解説します。
1.管理策を把握する
まずは、附属書Aに記載されている93項目の管理策について内容を把握しましょう。93項目は先ほど解説した4つのカテゴリに、以下のように分類されています。
- 組織的な管理策:37項目
- 人的な管理策:8項目
- 物理的な管理策:14項目
- 技術的な管理策:34項目
2.適用・除外する管理策を選定する
管理策の内容を把握したら、それぞれの項目において適用もしくは除外するかについて選択します。
管理策を適用する場合には、自社で運用する場合の方法やコストなどを具体的に検討しましょう。
一方、除外する管理策を決定する際には、「大変だからやらない」といった理由は適切ではありません。リスクアセスメントを実施した結果、「リスク受容
(リスクが発生した際の影響を受け入れること)」すると判断した場合に、除外すると決定します。
93項目中0~10項目程度が適用除外となり、ほとんどの管理策は実行することが一般的です。
3.適用宣言書に記載する
適用・除外する管理策が決まったら、適用宣言書を作成します。除外する場合には、その理由も併せて記載することが必要です。
また適用宣言書を作成するとともに、管理策内容を実際に運用できるようにルール・マニュアルを明確にしましょう。
【サンプル】ISMS適用宣言書の具体例
ISMS適用宣言書の具体例を作成しましたので、自社で作成する際の参考にしてください。
■目的
当社の情報セキュリティマネジメントシステム(以下ISMS)の構築及び運用にあたり、一般財団法人日本規格協会が発行する「ISO/IEC 27001:2022 (JIS Q 27001:2022)情報セキュリティマネジメントシステムの国際規格」の附属書Aに記載された管理目的及び管理策の各規定項目に対して宣言したものである。
■管理策の適用・除外一覧表
※適用欄(適用:〇、 適用除外:×、 管理策を実施していない:△)
| ISO27001管理策 | 適用欄 | 適用の根拠 | 理由 | 実施有無 |
|---|---|---|---|---|
| 5 組織的管理策 | ||||
| 5.1 情報セキュリティのための方針群 | 〇 | 情報セキュリティに関する各方針を従業員や利害関係者に共有することで、方針に沿った情報セキュリティ体制が正確に実施され、方針の内容が適切であることを確実にするため | 〇 | |
| 5.2 情報セキュリティの役割及び責任 | 〇 | 情報セキュリティに関する社内の役割や責任を明確化するため | 〇 | |
| 5.3 職務の分離 | 〇 | 不正使用のリスクやオペレーションミスを防ぐため | 〇 | |
| 5.4 管理層の責任 | 〇 | 経営陣が、情報セキュリティにおける自らの役割を理解し、組織の方針及び手順に従った情報セキュリティの適用を、すべての従業員及び契約相手に要求するため | 〇 | |
| 5.5 関係当局との連絡 | 〇 | 情報セキュリティ上の緊急時への迅速な対応を行い、行政等との適切な連絡体制を維持するため | 〇 | |
| 5.6 専門組織との連絡 | 〇 | 組織内で対応できない専門的な対応について、外部の情報セキュリティ専門家より助言を受けるため | 〇 | |
| 5.7 脅威インテリジェンス | 〇 | 組織の脅威インテリジェンスを構築し、適切な低減処置を講じることができるようにするため | 〇 | |
| 5.8 プロジェクトマネジメントにおける情報セキュリティ | 〇 | 特定のプロジェクトマネジメントにおいても、情報セキュリティの取り組みを確実に行うため | 〇 | |
| 5.9 情報及びその他の関連資産の目録 | 〇 | 管理責任者を明確にし、情報資産を適切に管理するため | 〇 | |
| 5.10 情報及びその他の関連資産の許容される利用 | 〇 | 情報資産利用者に対して、その利用範囲を明確にし、情報資産に応じた取り扱いを適切に行うため | 〇 | |
| 5.11 資産の返却 | 〇 | 情報資産の返却を確実に行うため | 〇 | |
| 5.12 情報の分類 | 〇 | 機密性、完全性、可用性から評価した情報資産の重要度を認識・分類し、適切な管理策を実施するため | 〇 | |
まとめ
この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説しました。
現在ISO27001の管理策は93個にわたり提示されています。これら一つひとつについて、自社のルールと照らし合わせて、適合・除外を決めていくことが必要です。そのため自社のルールだけでなく管理策に対する理解も求められます。
適用宣言書の作成に不安がある場合は、ISMSの取得サポートをプロのコンサルに相談することがおすすめです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい