ISMSの適用宣言書の作成はリスク管理体制の構築において欠かせない工程です。
ここではISMS適用宣言書の重要性と、事例をもとにした作成のポイントを解説しています。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
適用宣言書とは
適用宣言書とは、ISMS(ISO 27001)規格の附属書Aの、自社に適用または除外する項目とその理由を記した文書です。適用宣言書の作成はISMS認証規格の要求事項で、認証を取得するすべての組織に作成が義務づけられています。
管理策には39項目あり、実践が推奨されていますが、必ずしもすべて適用しなくてもかまいません。いずれにせよ、適用宣言書で各管理策の適用の有無と理由を明示します。
※2022年に実施された規格改訂に伴い、すべてのISMS認証取得済み企業では対応が必要です。2022年規格改訂の変更点と対応すべき内容をまとめた資料を無料で配布していますので、ぜひご一読ください。
適用宣言書の作成の流れ
適用宣言書の作成の前に、ISMS規格(ISO 27001)の管理策の各項目について適用するかしないかを慎重に検討します。
ISMSでは情報セキュリティについて広範囲にわたり内容を定めています。管理策のカテゴリや各項目を一つ一つ取り上げ説明するのは大変なため、ここでは代表してリスクアセスメントの工程をあげ、適用宣言書の作成の流れを説明することとします。
適用宣言書はリスクアセスメントの結果を受けて作成されます。主な工程とその流れは以下のとおりです。
-
- リスクアセスメント
- 1. リスクの把握
- 2. リスク評価
- 3. 対策の立案
- 4. 管理策の適用漏れチェック
- リスクアセスメント
- 管理策の適用除外項目の検討
- 適用宣言書の作成
ISMSのリスクアセスメントはリスク管理が実質的に機能するよう、すべてのリスクに対応することは想定していません。対応の優先度や「リスク受容基準」を定めたり、影響度が軽微ならばリスクを受容して対応しないこともあります。
リスク対策の立案ではISMS規格の管理策を参照します。しかし、管理策は情報セキュリティのあらゆる事柄を網羅しており、なかには自社環境に該当しない項目があることもあります。ただし、管理策の適用除外項目に関して審査でチェックが入りやすいです。適用除外を安易に決定せず、理由の妥当性を検討しましょう。
適用宣言書の記載内容
適用宣言書には適用を選択、あるいは除外する管理策を規格番号の順に記載します。そして、管理策の特定の項目を選択した理由、および適用を除外した理由をそれぞれ記載します。
管理策の選択理由については、選択する管理策に対応する関連文書を明記しても問題ありません。一方、管理策の適用除外では、除外する理由を明記しなくてはなりません。適用除外の理由および関連リスクがリスク所有者(※)によって受容された証拠を示さなくてはならないためです。
※リスク対応計画やリスク受容の承認者、実質的にはISMS統括責任者
なお、適用宣言書の具体的な作成例はこの記事の最後に取り上げます。あわせてご覧ください。
適用宣言書の重要性
適用宣言書の重要性は、文書そのものだけでなく、作成までの検討プロセスにも存在します。
適用宣言書の文書が持つ重要性とは以下の2つです。
- ISMS認証の要件
- セキュリティ対策の明示
適用宣言書は認証取得の要件であることに加え、作成することに意義があります。つまり、組織が行うセキュリティ対策を明確にするという点において、非常に重要な役割を持っているのです。
また、管理策の適用を検討していくプロセスは、ISMSのリスク管理体制の構築において欠くことができません。そもそも適用宣言書を作成しないとISMS認証が受けられないからです。また、リスク管理のために「管理対象の把握」「想定される影響」「管理基準」を定めておかないと実効性すら危ぶまれます。平時はもちろん、いざというときにもリスク管理や対応のベースがあるのとないのではずいぶん違ってきます。
適用宣言書の作成例
最後に、適用宣言書の具体例を紹介し、記載方法について解説します。
一般事業者の適用宣言書
まずは、従業員約400名の中堅メーカーが作成した適用宣言書の例を取り上げます。
この企業の適用宣言書の構成は以下のとおりです。
- タイトル
- 目的
- 採否理由
- 選択理由
- 除外理由
- 除外項目
- 適用対象者
- 管理策の選択採否の一覧表
- 管理目的・管理策の項目番号と内容
- 採/否
- リスク対策の内容
- 関連文書名
- 改版履歴
冒頭の1ページ目に、大要として適用宣言書の「目的」「採否理由」「適用対象者」か簡潔に述べられています。多くの事業者にとり、管理策の適用選択と除外の理由は「事業上の必要性」「事業環境上、該当しない」「リスク受容」のいずれかに当てはまることが多いです。そのため、項目ごとに一つ一つ適用(除外)理由を記載していくのではなく、この事例のようにひとまとめにして記載する方法も可能です。
なお、この適用記載書には管理策の一つ一つの採否のほか、リスク対策の内容、関連文書を記載してレファレンス性も持たせています。ISMS規格では、適用宣言書には「適用項目」「実施の有無」「除外理由」を含めると定められています。この条件さえ満たせば、自由に構成することが認められています。
適用宣言書のサンプル書式
個別事例より、自社の適用宣言書のたたき台となるひな型が欲しい方には、一般公開されている適用宣言書のサンプルを参考にしてみてはいかがでしょうか。
この適用宣言書のサンプル書式の構成は以下のとおりです。
- 表紙
- 一覧表
- 管理策の大項目
- 管理策の中項目
- 管理策の目的(規格文の再掲)
- 管理策の詳細項目
- 採否(◯X)
- 採否の根拠(下記いずれかを選択)
- リスクアセスメントの結果
- 法令規制
- 契約上の義務
- 事業上の要求
- 詳細項目の適用を選択および除外した理由
- 管理策の実行の有無
- 改版履歴
なお、このサンプル書式では管理策適用の採否の根拠として4つの選択肢を設けています。特定の管理策において、部署ごとや設備ごとなど、適用対象や範囲を特定することも可能です。
このサンプル書式を参考に、自社に必要な項目をつけ加え、リスク対策やリスク対応の策定ベースとなる適用宣言書を作成してみてもよいでしょう。
クラウドサービス提供事業者の適用宣言書
ISMS認証規格のシリーズに、普及が進むクラウドサービスの情報セキュリティに特化した規格があります。ISMSの適用宣言書には、ISMS要求事項を定めたISO27001規格のほか、シリーズ規格の管理策の適用/除外を記載することもあります。作成方法はISMS認証規格(ISO27001)に準じます。
クラウドサービスの情報セキュリティ規格では、サービス提供者(クラウドサービスプロバイダ)と利用者(クラウドサービスカスタマ)の規格が用意されています。ここでは従業員数100名以下のクラウドサービス事業者が作成した適用宣言書を見てみましょう。
この企業の適用宣言書(総計25ページ)の構成は以下のとおりです。
- 表紙
- 一覧表
- ISO27001
- 大項目/目的(規格文)
- 中項目/目的(規格文)
- 小項目/目的(規格文)
- 適用(◯X)
- 適用理由/除外理由
- ISO27017(クラウドサービスカスタマ)
- ISO 27001の場合と同じ構成
- ISO27017(クラウドサービスプロバイダ)
- ISO 27001の場合と同じ構成
- ISO27001
ISMSのシリーズ規格を複数取得すると、適用宣言書の記載ボリュームが大きくなります。この企業のように、適用宣言書はシンプルなリスト形式にして、関連事項は別の文書に分けて記載するのが妥当な運用といえるかもしれません。
まとめ
ISMSの認証取得企業は「管理策」の適用可否を独自に決められるため、適用宣言書の作成が義務化されています。認証規格の規定どおり、適用宣言書には必要最低限の項目さえ記載しておけば、認証取得に問題はありません。ただし、適用除外の項目について審査で妥当性を問われるため、慎重に検討しましょう。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。
