適用宣言書とは

組織の管理するセキュリティの目的とその管理策が明示された文書のことを指します。

ISO27001(ISMS)と適用宣言書

ISO27001(ISMS)の要求事項の中には、あらゆる情報セキュリティリスクを軽減するために管理策を講じるべきとして「付属書A」が存在します。
ISO27001(ISMS)では目的・教育・内部監査・マネジメントレビューなどマネジメントシステムの共通運用の他、組織が取扱う情報のリスクアセスメントが必要になります。
そのリスクへの管理策として決定した文書が組織で定める適用宣言書であり、ISO27001(ISMS)で要求される最低限の管理策です。

適用宣言書の策定

「付属書A」にある管理策は全部で93にのぼり、業務や適用範囲によっては管理策全てが当てはまらない場合もあり、どの管理策が適用されるのか、適用しないのかを理由を含めて明示しておかなければなりません。
ISO27001(ISMS)は2022年に改訂されてからほとんどの管理策が当てはまることが多く、適用しなかった管理策についてはその理由や業務内容などを審査でよく確認される傾向があります。
また、組織は適用される管理策について規定する必要があります。

まとめ

適用宣言書は組織で定めた情報セキュリティの管理策と目的が記された文書です。
策定する際には適用・非適用、またその理由も含めて策定する必要があります。
事業・業務内容・取引先・事業所の変化などによって、管理策の変更が必要になる場合もあることも忘れず、また適用宣言書を改訂した場合には情報セキュリティ管理規程など付随する規程なども更新するようにしましょう。