ISMS(ISO27001)適用宣言書とは？実際の作り方と作成例を紹介！

ISMS(ISO27001)の適用宣言書とは、組織が情報セキュリティ管理体制を策定し、それを適用することを公に宣言する文書です。

ISMS(ISO27001)の適用宣言書の作り方として、

1. 管理策の大枠を理解する
2. 業務内容から適用する管理策を選定する
3. 管理策内容を具体的に作成する

以上の3つのステップに分けると進めやすいでしょう。

１．ISMS適用宣言書とは

ISMS（ISO27001）では、情報の取り扱いルールを決めたりリスク評価をしたりして継続的改善を行いますが、情報の取り扱いルールを決めるときに何か指標がないと、担当者も悩みます。

その指標として、適用宣言書では93個の管理策を定める必要があります。
自社の状況を把握し、適用・適用外を決定し、適用した管理策に対してはセキュリティルールを決め、問題がないかチェックする役割もあります。

２．ISMS適用宣言書の目的

適用宣言書の目的は以下のとおりです。

⑴管理策の選定と適用の明確化

ISO/IEC 27001の附属書Aに記載されている管理策（93項目）について、組織がどの管理策を適用するか、または適用しないかを明確にします。

⑵適用しない管理策の理由の説明

適用しない管理策については、その理由を記載します。
これにより、組織の情報セキュリティにおけるリスク対応が適切であることを示します。

⑶リスク対応の根拠の提示

適用する管理策が、リスクアセスメントの結果に基づいて選定されていることを示します。

⑷透明性の確保

組織の情報セキュリティ管理の方針や実施状況を、内部および外部の関係者に対して明確に伝える役割を果たします。

３．ISMS適用宣言書が重要な理由

ISMS適用宣言書を作成することは、非常に重要です。
その理由としては、以下の5つです。

• 組織の情報セキュリティ方針を具体化する
• リスク対応の基盤となる
• 内部および外部の利害関係者への説明責任
• ISMSの運用と改善の指針
• ISO/IEC 27001認証取得の必須要件

⑴組織の情報セキュリティ方針を具体化できる

組織の情報セキュリティ方針や目標に基づき、どの管理策を採用するかを明確にすることで、情報セキュリティの方向性を具体化します。

⑵リスク対応の基盤となる

リスクアセスメントの結果に基づき、どの管理策を適用するかを決定するため、リスク対応の基盤となります。
適用しない管理策についても理由を明確にすることで、リスク対応の妥当性を説明できます。

⑶内部および外部の利害関係者への説明文書となる

適用宣言書は、内部監査や外部審査（ISO認証審査）において、組織の情報セキュリティ管理の適切性を説明するための重要な文書です。

顧客や取引先などの外部利害関係者に対して、組織の情報セキュリティ対策を説明する際にも活用できます。

⑷ISMSの運用と改善の指針となる

適用宣言書は、ISMSの運用状況を把握し、改善を行う際の指針となります。
管理策の実施状況を定期的に見直すことで、情報セキュリティの継続的な改善を促進します。

⑸ISO/IEC 27001認証取得の必須要件である

ISO/IEC 27001の認証を取得するためには、適用宣言書の作成が必須です。
この文書がなければ、認証審査を通過することはできません。

４．適用宣言書の作り方｜３ステップ

難しく思われがちな適用宣言書ですが、下記の３ステップで作るとシンプルで分かりやすく作成できます。
順番に見ていきましょう。

1. 管理策の大枠を理解する
2. 業務内容から適用する管理策を選定する
3. 管理策内容を具体的に作成する

⑴ステップ１『管理策の大枠を理解する』

まずはじめに、管理策の大枠を理解していきましょう。

管理策において、これまでは14あった管理策グループが、2022年度版で4つのグループにまとめられました。
項目数は合計９３個あります。

まずは、4つの管理策グループの概要を理解していく必要があります。

• 組織的な管理策　・・・37項目
• 人的な管理策　　・・・8項目
• 物理的な管理策　・・・14項目
• 技術的な管理策　・・・34項目

⑵ステップ２『業務内容から適用する管理策を選定する』

９３項目全ての項目を適用する必要はありません。
自社の業務内容を確認して管理策の選定を行います。

例えば、⑥暗号や⑩システム開発保守は該当しないケースもあります。

自社に該当しない場合は、適用除外にしましょう。
一般的な企業ですと、８５～９３項目程度が適用になり、いくつかの項目が適用除外となることが多いです。

すぐにセキュリティルールを考えるのではなく、果たしてそのルール作成は必要なのか、
業務とは直接関わらないが間接的に関わり管理する必要があるなど、管理策については現状業務内容と合わせて考える必要があります。

⑶ステップ３『管理策内容を具体的に作成する』

必要な管理策が明確になったら、自社で現状やっているルールを明確にしましょう。
ルールが定まっていない管理策があれば決めていきます。

例えば、③人的資源で、雇用前のルールを決める必要がありますが、すでに、雇用契約書や秘密保持誓約書、支給品の同意書等を締結している企業も多いと思います。
その場合、まずそれを貴社のルールとして決めていきましょう。

退職する際のルールが曖昧な企業も多いです。
退職者のアカウント削除、貸与物の管理、などは漏洩事故の可能性も大きく審査の際に審査員が注目するポイントでもありますので、現状でルールがなければ、新たに決めることを推奨します。

⑤アクセス制御についても、ルールが決まっていないケースが多くあります。
共有フォルダを使っているが、誰でもアクセスできる状態になっていることもあります。
そのような場合は、ISMS（ISO27001）認証取得をきっかけに、適切なアクセス権付与をすることをおすすめします。

５．ISMS適用宣言書の作成例

一例として、適用宣言書のサンプルを紹介します。

「適用宣言書　 ISO27001:2022」

適用欄(適用=〇、 適用除外=x、 管理策を実施していない=△)

各項目について、左から順に、〈管理策〉〈適用欄〉〈実施〉〈管理策を含めた理由〉〈関連文書〉という項目で構成します。

ここでポイントとなるのが〈適用欄〉〈実施〉の項目です。
「適用はしているけれど実施はしていない」という場合もあるので、どれが自社で当てはまっているか確認をしましょう。

適用宣言書は、2022年度版に変更することが必要です。
変更点としては114項目の管理策が、全93項目に削減されています。

• 58項目 更新
• 24項目 統合
• 11項目 新規

「変更点や対策が具体的に分からない・・・」とお悩みの方へ。
管理策のどの項番がどう変わったのか、資料に詳しくまとめました。
下記より資料をプレゼントいたします！

ISO27001規格改訂ギャップ分析サンプル：
https://ninsho-partner.com/present/?from=isms_gapanalysischart

審査のときに審査員が見るのは、適用した管理策ではありません。適用除外にした管理策が何かを見られます。
ISMS（ISO27001）では原則として、できるだけ管理策を適用することが望ましいと言われているので、適用除外にした管理策が本当に除外していいものなのか、対象になる業務はないのかを確認したいのです。

６．よくある適用宣言書のミス

よくあるミスは、適用除外にできない項目を適用除外としてしまっているケースです。

例えば、「適用宣言書　管理策　⑼通信のセキュリティ」で、インターネットを活用し、メール等を使っていない企業はほぼいないと思いますので、この場合には適用除外できません。

管理策をやりたくないという発想で除外にするのは、審査時にも、適用にすべきと指摘されることが多いですので注意してください。

管理策の適用を除外するためには、明確な理由が求められます。
「認証を受ける事業では、管理策にある活動を全く行っていないため。」などの明確な理由がない場合は、適用除外とできないので注意してください。

まとめ

ISMS（ISO27001）の適用宣言書は、自社の状況と比較して、適用・適用外を決定し、
適用した管理策に対してはセキュリティルールを決め、問題がないかチェックする役割があります。

適用宣言書を作ることを目的にするのではなく、あくまでもチェックリスト代わりに適用宣言書を使って自社でルールが甘いところや定められていないところがないかの洗い出しをしてみましょう。
管理策を確認するだけやルールを定めるだけではなく、そのルールを運用していくことに意味があります。
定められたルール通りに運用を行いましょう。

適用宣言書でお困りの場合、コンサルタントへの無料相談も可能です。
お気軽にお問い合わせください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら