適用宣言書とは？

適用宣言書とは、「その組織のISMSに関連して適用する管理目的及び
管理策を記述した文書」という※定義があります。

つまり、自社における、情報セキュリティ管理策の適用状況を外部に
宣言する文書といえます。

実際には、ISMSを認証し、JIPDECに登録した際には、
JIPDECのホームページにある、ISMS適合性評価制度の登録情報の中で、
企業は、適用宣言書の版番号を公開するような形で行っています。

具体的に、適用宣言書をどう作成したらよいかですが、
JISQ27001の要求事項にある、附属書Aから自社のISMSにとって、
必要な情報セキュリティ管理策を選択し、それらを記載することで
文書を作成します。

また、附属書Aに、必要な管理策がない場合は、これ以外から採用し、
記載することも可能です。


適用宣言書を記載する注意点がいくつかあります。

1.管理策の選択及び除外する理由を記載する
2.選択した管理策の実行の可否を記載する
（選択していても、経営資源の事情などから実施していない場合もあり得る）


必要最低限のレベルで考えれば、
一般的に、以下のように記載することが多いです。

・適用宣言書サンプル


現在、上記サンプルの完全版を有料にて、
エクセルファイルで提供中です。
（自社でカスタマイズできます）

・詳細


※旧規格（JISQ27001:2006）での定義。
　現在の新規格（JISQ27000:2014）では、定義はない