ISMS(ISO27001)適用宣言書とは?作り方を3ステップで解説

ISMS(ISO27001)適用宣言書とは、組織の管理するセキュリティの目的とその管理策が明示された文書のことです。
ISMS(ISO27001)適用宣言書の作り方は、①管理策の大枠を理解する、②業務内容から適用する管理策を選定する、③管理策内容を具体的に作成するの3つのステップにわけると進めやすいでしょう。

1.ISMS適用宣言書とは

ISMS適用宣言書とは、
組織の管理するセキュリティの目的とその管理策が明示された文書
です。

ISMS(ISO27001)では、情報の取り扱いルールを決めたりリスク評価をしたりして継続的改善を行いますが、
情報の取り扱いルールを決めるときに何か指標がないとご担当者様も悩まれると思います。

その指標として、適用宣言書では管理策グループが14個あり、114個の管理策を定める必要があります。

自社の状況を把握し、適用・適用外を決定し、
適用した管理策に対してはセキュリティルールを決め、
問題がないかチェックする役割もあります。

2.適用宣言書の作り方 3ステップ

難しく思われがちな適用宣言書ですが、下記の3ステップで作るとシンプルで分かりやすいでしょう。

■ステップ1・・・『管理策の大枠を理解する』

まずはじめに、管理策の大枠を理解していきましょう。

管理策グループの14個の概要を把握します。

①セキュリティ方針・・・セキュリティルールの管理方法について
②組織体制・・・セキュリティルールを適応する体制について
③人的資源・・・人の管理
④資産管理・・・組織で保有している情報の現状把握
⑤アクセス制御・・・④で把握した情報へのアクセス権の管理
⑥暗号・・・暗号化が必要な業務について
⑦物理的・環境的セキュリティ・・・事務所の入退室管理、ハードウェアの管理
⑧運用のセキュリティ・・・日々の業務で活用しているアプリ・ソフトウェア等の管理
⑨通信のセキュリティ・・・通信、ネットワークの管理、メール等の情報のやり取りの管理
⑩システム開発保守・・・システム開発・保守業務の管理
⑪供給者管理・・・セキュリティ関連業務の委託業者、協力会社等の管理
⑫インシデント管理・・・インシデント発生時の管理
⑬事業継続マネジメント・・・情報セキュリティを維持するための計画
⑭順守・・・関連する法令や、取引先等の要求事項の管理と順守

■ステップ2・・・『業務内容から適用する管理策を選定する』

全ての項目を適用する必要はありません。
自社の業務内容を鑑み、管理策の選定を行います。

例えば、⑥暗号や⑩システム開発保守は該当しないケースもあります。

該当しない場合は適用除外にしましょう。

いきなりセキュリティルールを考えるのではなく、
果たしてそのルール作成は必要なのか、
業務とは直接関わらないが間接的に関わり管理する必要があるなど、
管理策については現状業務内容と合わせて考える必要があります。

■ステップ3・・・『管理策内容を具体的に作成する』

必要な管理策が明確になったら、自社で現状やっているルールを明確にしてきましょう。

難しく考えなくても、すでにやっていることも多いはずなのでご安心ください。
チェックリストの感覚で、ルールが定まっていない管理策があれば決めていきましょう。

例えば、③人的資源で、雇用前のルールを決める必要がありますが、
すでに、雇用契約書や秘密保持誓約書、支給品の同意書等を締結している企業も多いと思います。
その場合、まずそれを貴社のルールとして決めていきましょう。

また、退職する際のルールが曖昧な企業も多いです。
退職者のアカウント削除、貸与物の管理、などは漏洩事故の可能性も大きく審査の際に審査員が注目するポイントでもありますので、いまルールがなければ、新たに決めることを推奨します。

⑤アクセス制御についてもルールが決まっていないケースが多くあります。
共有フォルダを使っているが、誰でもアクセスできる状態になっていることもあります。
そのような場合はISMS(ISO27001)認証取得をきっかけに、適切なアクセス権付与をすることをおすすめします。

3.審査で見られるポイントはここ!

審査のときに審査員が見るのは、実は、適用した管理策ではありません。
適用除外にした管理策が何かを見られます。

ISMS(ISO27001)では原則として、できるだけ管理策を適用することが望ましいと言われているので、
適用除外にした管理策が本当に除外していいものなのか、対象になる業務はないのかを確認したいのです。

4.よくある適用宣言書のミス

よくあるミスは、適用除外にできない項目を適用除外としてしまっているケースです。

例えば、⑨通信のセキュリティで、インターネットを活用し、メール等を使っていない企業はないと思いますので、その場合に適用除外にはできません。
管理策をやりたくないという発想で除外にするのは、審査時にも、適用にすべきと指摘されると思いますので注意してください。

まとめ

ISMS(ISO27001)の適用宣言書は、自社の状況と比較して、適用・適用外を決定し、
適用した管理策に対してはセキュリティルールを決め、問題がないかチェックする役割があります。

ISMSの適用宣言書には管理策グループが14個あり、114個の管理策が決められております。

適用宣言書の作り方は、
①管理策の大枠を理解する
②業務内容から適用する管理策を選定する
③管理策内容を具体的に作成するの3つのステップで作成できます。

適用宣言書を作ることを目的にするのではなく、あくまでもチェックリスト代わりに適用宣言書を使って自社でルールが甘いところや定められていないところがないかの洗い出しをしてみましょう。
管理策を確認するだけやルールを定めるだけではなく、そのルールを運用していくことに意味があります。
定められたルール通りに運用を行いましょう。

カテゴリー: