2023年9月15日
ISMS(ISO27001)の適用宣言書とは、組織が情報セキュリティ管理体制を策定し、それを適用することを公に宣言する文書です。
ISMS(ISO27001)の適用宣言書の作り方として、①管理策の大枠を理解する、②業務内容から適用する管理策を選定する、③管理策内容を具体的に作成する、の3つのステップに分けると進めやすいでしょう。
1.ISMS適用宣言書とは
ISMS適用宣言書とは、
組織の管理するセキュリティの目的とその管理策が明示された文書
です。
ISMS(ISO27001)では、情報の取り扱いルールを決めたりリスク評価をしたりして継続的改善を行いますが、
情報の取り扱いルールを決めるときに何か指標がないと、担当者も悩みます。
その指標として、適用宣言書では93個の管理策を定める必要があります。
自社の状況を把握し、適用・適用外を決定し、適用した管理策に対してはセキュリティルールを決め、問題がないかチェックする役割もあります。
2.ISMS適用宣言書の重要性とは
ISMS適用宣言書を作成することは非常に重要です。
なぜなら、適用宣言書はISO27001の規格要求事項に含まれていることに限らず、情報セキュリティに対する取り組みを外部の関係者に示す手段、また組織が行っていくセキュリティ対策を明確にしていくためのものだからです。
また、適用宣言書は審査の必須文書でもあるため、作成しなければなりません。
3.適用宣言書の作り方 3ステップ
難しく思われがちな適用宣言書ですが、下記の3ステップで作るとシンプルで分かりやすいでしょう。
■ステップ1・・・『管理策の大枠を理解する』
まずはじめに、管理策の大枠を理解していきましょう。
管理策において、これまでは14あった管理策グループが、2022年度版で4つのグループにまとめられました。
項目数は合計93個あります。
まずは、4つの管理策グループの概要を理解していく必要があります。
⑴組織的な管理策 ・・・37項目
⑵人的な管理策 ・・・8項目
⑶物理的な管理策 ・・・14項目
⑷技術的な管理策 ・・・34項目
■ステップ2・・・『業務内容から適用する管理策を選定する』
93項目全ての項目を適用する必要はありません。
自社の業務内容を鑑み、管理策の選定を行います。
例えば、⑥暗号や⑩システム開発保守は該当しないケースもあります。
該当しない場合は適用除外にしましょう。
一般的な企業ですと、85~93項目程度が適用になり、数個が適用除外となることが多いです。
いきなりセキュリティルールを考えるのではなく、果たしてそのルール作成は必要なのか、
業務とは直接関わらないが間接的に関わり管理する必要があるなど、管理策については現状業務内容と合わせて考える必要があります。
■ステップ3・・・『管理策内容を具体的に作成する』
必要な管理策が明確になったら、自社で現状やっているルールを明確にしてきましょう。
難しく考えなくても、すでにやっていることも多いはずなのでご安心ください。
チェックリストの感覚で、ルールが定まっていない管理策があれば決めていきましょう。
例えば、③人的資源で、雇用前のルールを決める必要がありますが、
すでに、雇用契約書や秘密保持誓約書、支給品の同意書等を締結している企業も多いと思います。
その場合、まずそれを貴社のルールとして決めていきましょう。
また、退職する際のルールが曖昧な企業も多いです。
退職者のアカウント削除、貸与物の管理、などは漏洩事故の可能性も大きく審査の際に審査員が注目するポイントでもありますので、いまルールがなければ、新たに決めることを推奨します。
⑤アクセス制御についてもルールが決まっていないケースが多くあります。
共有フォルダを使っているが、誰でもアクセスできる状態になっていることもあります。
そのような場合はISMS(ISO27001)認証取得をきっかけに、適切なアクセス権付与をすることをおすすめします。
4.ISMS適用宣言書の作成例
一例として、適用宣言書のサンプルを紹介します。
適用宣言書 ISO27001:2022
適用欄(適用=〇、 適用除外=x、 管理策を実施していない=△)
| ISO27001附属書 A 管理目的及び管理策 | 適用欄 | 実施 | 管理策を含めた理由 | 関連文書 |
|---|---|---|---|---|
| 5 組織的管理策 | ||||
| 5.1 情報セキュリティのための方針群 | ||||
| 情報セキュリティ方針及びトピック固有の個別方針は、これを定義し、経営陣によって承認され、発行し、関連する要員及び関連する利害関係者へ伝達し認識され、 計画した間隔で及び重 |要な変化が発生した場合にレビューしなければならない。 | 〇 | 〇 | 事業、 法令、規制及び契約上の要求事項に従って、 経営陣の方向性の継続的な適合性、 有効性、 及び情報セキュリティのサポートを確実にするため | ISMSマニュアル 5.1 情報セキュリティ基本方針 |
| 5.2 情報セキュリティの役割及び責任 | ||||
| 情報セキュリティの役割及び責任は、組織のニーズに従って定め、割り当てなければならない | 〇 | 〇 | ISMSの着実な運用には各人の役割を定義して意識してもらうことが必要となるため。 | ISMSマニュアル 情報セキュリティマネジメントシステムにおける役割と責任権限一覧表 |
| 5.3 職務の分離 | ||||
| 相反する職務及び相反する責任範囲は、分離しなければならない。 | 〇 | 〇 | 不適切な変更や誤用の可能性を少なくし、責任領域を分離する必要があるため。 | ISMSマニュアル 情報セキュリティマネジメントシステムにおける役割と責任権限一覧表 |
| 5.4 経営陣の責任 | ||||
| 経営陣は、組織の確立された情報セキュリティ方針、トピック固有の方針及び手順に従った情報セキュリティの適用を全ての要員に要求しなければならない。 | 〇 | 〇 | 当社が定めたISMSに従うことを全ての関係者に要求し、 ISMSを維持・管理していく際に、 経営陣の率先随伴がモラルとして必要なため(今後、採用の際には管理|策を実行)。 | 情報セキュリティ管理規程 |
各項目について、左から順に、〈管理策〉〈適用欄〉〈実施〉〈管理策を含めた理由〉〈関連文書〉という項目で構成します。
また、ここでポイントとなるのが〈適用欄〉〈実施〉の項目です。
“適用はしているけれど実施はしていない”という場合もあるので、どれが自社で当てはまっているか確認をしましょう。
そして、適用宣言書は2022年度版に変更することが必要です。
変更点としては114項目の管理策が、全93項目に削減されています。
・58項目 更新
・24項目 統合
・11項目 新規
「変更点や対策が具体的に分からない・・・」とお悩みの方へ。
管理策のどの項番がどう変わったのか、「ISO27001 管理策新旧対応表」というプレゼント資料に詳しくまとめています。
下記からお気軽にお問い合わせください。
5.審査で見られるポイントはここ!
審査のときに審査員が見るのは、実は、適用した管理策ではありません。
適用除外にした管理策が何かを見られます。
ISMS(ISO27001)では原則として、できるだけ管理策を適用することが望ましいと言われているので、
適用除外にした管理策が本当に除外していいものなのか、対象になる業務はないのかを確認したいのです。
6.よくある適用宣言書のミス
よくあるミスは、適用除外にできない項目を適用除外としてしまっているケースです。
例えば、「3.適用宣言書の作り方 ■ステップ1の管理策 ⑼通信のセキュリティ」で、インターネットを活用し、メール等を使っていない企業はほぼいないと思いますので、この場合には適用除外できません。
管理策をやりたくないという発想で除外にするのは、審査時にも、適用にすべきと指摘されることが多いですので注意してください。
まとめ
ISMS(ISO27001)の適用宣言書は、自社の状況と比較して、適用・適用外を決定し、
適用した管理策に対してはセキュリティルールを決め、問題がないかチェックする役割があります。
ISMSの適用宣言書には管理策グループが4個あり、93個の管理策が決められております。
適用宣言書の作り方は、
①管理策の大枠を理解する
②業務内容から適用する管理策を選定する
③管理策内容を具体的に作成する
の3つのステップで作成できます。
適用宣言書を作ることを目的にするのではなく、あくまでもチェックリスト代わりに適用宣言書を使って自社でルールが甘いところや定められていないところがないかの洗い出しをしてみましょう。
管理策を確認するだけやルールを定めるだけではなく、そのルールを運用していくことに意味があります。
定められたルール通りに運用を行いましょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ