適用宣言書とは、「その組織のISMSに関連して適用する管理目的及び
管理策を記述した文書」という※定義があります。
つまり、自社における、情報セキュリティ管理策の適用状況を外部に
宣言する文書といえます。
実際には、ISMSを認証し、JIPDECに登録した際には、
JIPDECのホームページにある、ISMS適合性評価制度の登録情報の中で、
企業は、適用宣言書の版番号を公開するような形で行っています。
具体的に、適用宣言書をどう作成したらよいかですが、
JISQ27001の要求事項にある、附属書Aから自社のISMSにとって、
必要な情報セキュリティ管理策を選択し、それらを記載することで
文書を作成します。
また、附属書Aに、必要な管理策がない場合は、これ以外から採用し、
記載することも可能です。
適用宣言書を記載する注意点がいくつかあります。
1.管理策の選択及び除外する理由を記載する
2.選択した管理策の実行の可否を記載する
(選択していても、経営資源の事情などから実施していない場合もあり得る)
必要最低限のレベルで考えれば、
一般的に、以下のように記載することが多いです。
・適用宣言書サンプル
現在、上記サンプルの完全版を有料にて、
エクセルファイルで提供中です。
(自社でカスタマイズできます)
・詳細
※旧規格(JISQ27001:2006)での定義。
現在の新規格(JISQ27000:2014)では、定義はない