ISMS(ISO27001)適用宣言書とは?
ISMS(ISO27001)適用宣言書とは、組織が適用する管理策と除外する管理策を文書化したものです。具体的な作成方法や作成時の注意点などについて、わかりやすく解説しています。
ISMS適用宣言書はどのようなもの?
ISMS適用宣言書は、ISMSの認証取得において必須の文書です。情報セキュリティ管理策(附属書A)の中から、組織がどの管理策を適用し、どの管理策を除外するかを明確にします。
附属書Aに記載された93個の情報セキュリティ管理策を、組織がすべて適用する必要はありませんが、認証審査では適用宣言書の内容が、組織の情報セキュリティリスク管理体制と整合しているかどうかが確認されます。
併せて、適用宣言書は組織の情報セキュリティ管理体制を維持、改善していく上で重要な役割を果たします。
ISMS適用宣言書の重要性
ISMS適用宣言書は、組織の情報セキュリティ管理の透明性を向上させ、適切な対策が実施されているかを証明する重要な役割を担っています。
組織内での情報セキュリティ対策の方向性が明確となり、従業員が管理策を理解し実施するための指針となります。リスクアセスメントの結果と適用管理策が適切に紐づいていることを明示することで、合理的なリスク対応を行えているかの証明が可能です。
また、適用宣言書は組織内部の関係者だけでなく、外部の関係者(顧客や取引先など)に対して、情報セキュリティ管理体制を説明するための文書として活用できます。これにより、組織は情報セキュリティに対する責任を果たし、信頼性を高めるでしょう。
管理策と要求事項の違いとは?
管理策は、ISMSの附属書Aに記載されている、情報セキュリティリスクに対応するための具体的な対策例です。これらは組織が情報セキュリティリスクを評価し、その結果に基づいて選択し、適用することができます。
一方、要求事項は、組織がISMSを構築、運用するために必ず満たさなければならない事項です。情報セキュリティマネジメントの枠組みだけでなく、資源や力量、文書管理、内部監査、是正処置など、ISMS全体に関わる基本的な要求事項となっています。
適用宣言書は管理策の中からどの対策を採用するのか、またその理由を明確に記載するものであり、ISO27001の要求事項とは区別される必要があります。
ISMS適用宣言書作成の流れ
ISMS認証取得に向けた重要なステップであり、組織の情報セキュリティ管理体制を維持していく上でも重要な役割を果たすISMS適用宣言書。ここからはISMS適用宣言書を作成する際の手順について解説しています。
手順1.管理策の概要を把握する
まず、ISO27001の附属書Aに記載されている管理策の概要を把握することが重要です。これには、組織が直面する可能性のあるセキュリティリスクを特定し、それに対応するための管理策を確認する作業が含まれます。リスクアセスメントの結果を踏まえ、組織の情報資産を適切に保護するためにどのような管理策を適用、または除外する管理策を慎重に検討します。
手順2.適用する管理策を選ぶ
リスクアセスメントの結果をもとに、自社に必要な管理策を選定します。適用する管理策を慎重に選び、それが組織の情報セキュリティの向上に寄与するかどうかをチェック。例えば、リモートワークを実施している組織では、「リモートワークに関する情報セキュリティ管理策」を適用する必要があります。一方、自社で該当しない業務に関する管理策は、適用除外とすることが可能です。ただし、適用除外とする場合は、その理由を明確にし、リスクアセスメントの結果や業務内容と整合性が取れているかを確認しましょう。
手順3.管理策内容を作成・記載する
選定した管理策について、具体的な実施方法を明記します。管理策の内容が曖昧なものにならないよう、具体的な運用方法や実施手順、関連する文書や手順書へのリンクを示し、実効性のある内容に仕上げる必要があります。
除外する管理策についても、組織が情報セキュリティリスクに対応するために適用しない管理策の一覧を記載。除外する管理策については「組織の業務特性から、外部からの不正アクセスを受ける可能性が低いため、侵入検知システムは除外します。」のように、その理由を明確かつ具体的に説明する必要があります。
ISMS適用宣言書作成時の注意点
ISMS適用宣言書は、組織の情報セキュリティ管理体制を明確に示す重要な文書です。作成にあたっては、以下の点に注意することが求められます。
適用除外の正当性を考える
ISO27001の附属書Aには、情報セキュリティ管理のための93の管理策が示されており、組織のリスクアセスメント結果や業務内容に基づいて適用の可否を判断します。すべての管理策を無条件に適用すれば良いというわけではありませんが、可能な限り適用するのが望ましいとされています。
適用除外とする場合は、その理由を明確に記載し、審査時に説明できるよう準備する必要があります。例えば、特定の管理策が自社の業務に関連しない場合や、リスク評価の結果、受容可能と判断された場合などが該当します。適用除外の理由が不適切であると、審査時に指摘を受ける可能性があるため、慎重な判断が求められます。
最新規格へ対応する
ISO/IEC 27001は2022年に改訂され、管理策が従来の114項目から93項目に再編成されました。管理策の統合や新規追加が行われ、より現代の情報セキュリティ環境に適した内容となっています。このように規格は常に一定ではなく、情報セキュリティのリスクの変化とともに改訂されていくものです。
そのため、適用宣言書を作成・更新する際には、最新の規格に基づいていることを確認し、組織の情報セキュリティ管理体制が現行の基準に適合していることを示す必要があります。特に、改訂前の規格に基づく管理策をそのまま使用している場合、最新の規格とのギャップが生じる可能性があるため、注意が必要です。
作成時にはサンプルを活用しよう
適用宣言書の作成に際しては、既存のサンプルやテンプレートを参考にすることで、効率的な文書作成が可能となります。これらのサンプルは、基本的な構成や記載項目を網羅しているだけでなく、認証機関や専門家によって作成されている場合が多いため、質の高い適用宣言書を作成しやすくなるでしょう。
ただし、サンプルをそのまま使用するのではなく、自社のリスクアセスメント結果や業務内容に基づいて適切に編集・修正することが重要です。
まとめ
ISMS適用宣言書は、ISMS認証取得において審査対象となる重要な文書です。適用除外の正当性や最新規格への対応など、注意すべきポイントを押さえ、正確かつ適切な文書作成が求められます。作成することで、外部に対しても信頼性をアピールしやすくなるメリットもあります。
しかし、ISMS適用宣言書の作成には正しい知識・理解が必要です。加えて、ISMSに関する法規制や最新の情報を踏まえた上で、適用宣言書の内容を常に最新の状態に保つことも求められます。
自社のノウハウだけでは難しいと感じた場合には、プロの力を借りるのもひとつの手です。これまでの経験と最新の情報をもとに、スムーズな導入・運用が期待できるでしょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。