【サンプルあり】ISMS適用宣言書とは？書き方や記載内容を徹底解説

ISMS認証（ISO27001）を取得する際には、ISMS適用宣言書の作成が欠かせません。社内でのセキュリティ体制の管理だけでなく、外部にも自社のセキュリティ体制を示すうえで重要な文書です。

しかし、はじめてISMS認証を取得する企業にとっては、ISMS適用宣言書がよくわからない場合も多いでしょう。

そこで、この記事ではISMS適用宣言書の概要や必要性、作成の流れを解説します。また作成の具体例や書式サンプルも紹介しますので、文書作成の参考にしてください。

ISMS適用宣言書とは？

ISMS適用宣言書とは、ISO27001（ISMS）の附属書Aに定められた管理策のうち、「自社で適用する管理策」と「適用しない管理策」、そしてその判断理由を明確に示した文書です。

附属書Aには、情報セキュリティ管理策の一覧（93個）が記載されていますが、そのすべてを適用する必要はありません自社の事業内容やリスク状況に応じて必要な管理策を選定し、その根拠を整理したものがISMS適用宣言書です。

ISO27001の要求事項によって、ISMS適用宣言書は必ず作成することが求められています。

ISMS適用宣言書を作成する必要性は、「組織内外に、情報セキュリティに対する方針や実施する対策を明確に示すこと」にあります。

具体的には、ISMS適用宣言書は以下の3つの役割を担います。

1.自社のセキュリティ対策を「見える化」すること: どの管理策を採用し、どれを除外したのかを明確にすることで、自社の情報セキュリティ方針と対策内容を整理できます。

2.管理策選定の根拠を示すこと: リスクアセスメントの結果をもとに管理策を選定していることの根拠となるため、「なぜその対策を行っているのか」を説明できるようになります。
リスクアセスメント：自社の情報資産を守るために「情報セキュリティリスクを特定し、特定したリスクにおいて脅威・脆弱性・影響などを分析し、評価するプロセス」

3.審査・監査に対応するための重要資料となること: 内部監査や外部審査において、ISMSが適切に構築・運用されていることを証明する基礎資料として活用されます。

つまりISMS適用宣言書は、自社のリスクに基づいて適切に管理策を選定していることを証明する、いわば「セキュリティ対策の設計図」ともいえます。

内容が不十分な場合には、内部監査や登録審査で指摘を受ける可能性もあります。事業の実情に沿った形で正確に作成・管理することが重要です。

ISMS適用宣言書には、附属書Aに定められている93項目の管理策について、自社がどのように取り扱うかを明確に記載します。

そもそも管理策とは、「附属書Aに記載されている、情報セキュリティリスクを低減するための対策」です。

ISMS適用宣言書には、93個の管理策を「適用する管理策」と「除外する管理策」に分けて記載します。具体的には、以下の4項目について示す必要があります。

※規格番号の順番どおりに記載する

管理策を適用・除外するかどうかの判断は、基本的に自社で実施したリスクアセスメントの結果を基準に判断します。

自社の事業内容、取り扱う情報、業務プロセス、IT環境などを踏まえ、どのようなリスクが存在するのかを整理し、そのリスクに対応するために必要な管理策を選択します。

一方で、事業内容やシステム構成上、明らかに該当しない管理策については除外が可能です。ただし、除外する場合でも「該当しない理由」を論理的に説明できなければなりません。

例えば、「管理策5.23：クラウドサービスの利用における情報セキュリティ」を除外する場合、「クラウドサービスを利用していないため」といった除外理由が考えられます。

ここでは、ISMS適用宣言書を設定する流れを解説します。

まずは、附属書Aに記載されている93項目の管理策について内容を把握しましょう。93項目の管理策は、以下の4つのカテゴリに分類されています。

組織的な対策（37項目）	適切にISMSを構築・運用するための対策
人的な対策（8項目）	従業員によるミスや内部不正など、人によるリスクへの対策
物理的な対策（14項目）	不法侵入や災害などによるリスクから、建物や設備を保護するための対策
技術的な対策（34項目）	ウイルス対策や不正アクセスなどによるリスクから、ソフトウェアなどを保護するための対策