ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

すべての記事

ISO27001

ISMSの適用宣言書とは?作成の手順・ポイント解説とサンプルを紹介

2025.06.16
ISMSの適用宣言書とは?作成の手順・ポイント解説とサンプルを紹介

この記事の3つのポイント

  1. ISMSの適用宣言書とは、マネジメントシステム構築のための管理策から自社に適用する項目と除外する項目を記した文書
  2. 作成することが義務付けられており、自社の方針を明確にしたり対外的な透明性を高めたりするのに役立つ
  3. 管理策の書かれた「附属書A」の項目を確認し、1つずつ適用/除外を決めて具体的な管理策を策定する

ISMS(情報セキュリティマネジメントシステム)の適用宣言書の作成は、認証取得において必須要件であり、組織の情報セキュリティ方針を具体化するための重要な文書です。
適切に作成することで、内部監査や外部審査の際に組織の情報セキュリティ管理の適切性を説明する役割を果たします。

今回の記事では、適用宣言書についての解説だけでなく、適用宣言書の作成例具体的な記載内容についても紹介していきます。企業のご担当者様は是非参考にしてみてください。

ISO・ISMS審査に関するご質問は
お気軽にお問い合わせくださいお問い合わせフォーム

目次

ISMSの適用宣言書とは

ISMSの適用宣言書は、ISO 27001:2022における附属書Aの管理策の中から、組織が実際に適用する項目を選定し、文書化したものです。この文書は、単に管理策をリストアップするだけでなく、以下のような点も明確に記載する必要があります。

ISMSの適用宣言書に明確に記載するポイント

適用宣言書の作成は、ISMSに関する認証規格で定められた必須要件です。
つまり、組織がISMSを構築する際には、必ずこの文書を作成し、管理策の選定プロセスを文書化する必要があります。
この文書を作成することにより、組織が管理する情報セキュリティの目的や、採用している管理策が体系的にまとまり、内部監査や外部審査の際に、セキュリティ対策の適切性を分かりやすく説明できるようになります。

ISMS取得以外の適用宣言書の目的

ISMSの適用宣言書は、ISO 27001認証の取得に不可欠な要件ですが、認証取得のみならず、組織内における情報セキュリティ管理の向上と体系的な運用の実現において多くのメリットと目的があります。
以下ににその例をいくつか挙げていきます。

方針・基盤とするため

まず初めに、組織が管理策を運用するか除外するか選択し、除外する管理策は、除外する理由を明確にしなくてはなりません。
管理すべき情報資産やリスクに応じた管理策を選定するプロセスは、現状の脅威・リスクの洗い出しを促進します。
これにより、どのリスクに注力すべきかが明確になり、効果的かつ現実的で実践可能ななセキュリティ対策の策定が実現します。
これは、部門横断的なコミュニケーションの促進にも役立ち、自社にとって適切なISMS構築の基盤を強化します。

方針を公開して透明性を高めるため

ISMSの策定は、社内のセキュリティ対策の強化はもちろん、対外的な信頼の獲得にも直結します。
適用宣言書を公開することにより、自社のセキュリティ方針とその根拠を明確に示すことが可能となります。
取引先や顧客から見た場合、企業がセキュリティリスクに対して真摯に取り組んでいることを示す重要な証拠となり、結果として信頼関係の構築に大きく寄与します。

ISMSの適用宣言書作成のサンプル例

適用宣言書の具体例としてサンプル(ISO27001:2022対応)をご紹介しますので、ぜひ参考にしてください。

▼ISMS適用宣言書サンプル
ISMSの適用宣言書作成のサンプル例

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

ISMSの適用宣言書作成の手順

適用宣言書の作成にあたっては、以下の要件に十分注意を払いながら作成を進めていきます。

附属書Aの管理策を把握、方針を決定

ISO 27001の附属書Aでは、情報セキュリティを確保するための93個の管理項目が4つのカテゴリに分けられています。
組織的管理策では全社的な方針や責任の明確化、人的管理策では従業員教育やアクセス権管理、物理的管理策では施設や設備の安全確保、技術的管理策ではネットワークやシステムのセキュリティ対策に重点を置いています。

これらの策は、包括的なリスクマネジメントと内部統制の強化に不可欠です。

管理策ごとに適用/除外を選択

各管理策の項目は、1つひとつ詳細に確認し、自社の業務プロセスやリスク評価に照らし合わせて、実際に運用が必要なものと不要なものに振り分けることが求められます。
自社の業務内容と密接に関連している項目については、運用体制の中で実施し、不要と判断された管理策については除外するか、場合によっては代替措置を講じる方法も検討します。

なお、管理策は、すべての項目が絶対に運用すべきというものではなく、検討すべき目安として捉えるべきですが、実際の現場では約9割程度の項目の運用が必要となるケースが多いです。

管理策を具体化

まず運用する管理策について導入理由を明確にする必要があります。なぜその管理策が必要なのか等を具体的に言語化し、社内文書に記載することで、運用の正当性を示します。
たとえば、既に社内で定められているルールや基準がある場合は、それをそのまま適用、もしくは新たに策定し、運用方法や実施手順を詳細に定める必要があります。

除外した管理策については、なぜその項目が対象外となるのか、合理的な根拠や代替措置が検討された結果を丁寧に文書化することで、内外双方に対して透明性と説得力のある運用体制を構築できます。

ISMSの適用宣言書作成のポイント

ISO 27001の管理策について、単に「運用したくない」という理由で除外することは認められません。
そのような理由で除外を試みた場合、審査時に指摘される可能性が高いでしょう。

適用宣言書は、具体的な業務の適合性や実施可能な代替対策など客観的な根拠に基づく判断を行い、適用の正当性を裏付ける資料として整備していくことで審査員からの納得を得やすくなります。

まとめ

適用宣言書は、単にISO審査のために必要な書類というだけではなく、組織全体の情報セキュリティ対策が体系的に実施されていることを裏付ける証拠となり、内部統制の強化と対外的な信頼獲得のための重要な管理ツールとして機能します。

ISMS認証の取得を検討中の企業様は、GCERTI-JAPANまでお気軽にご相談ください。

  • SNSでシェアする

  • Facebook
    Twitter

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

小林 卓慈
小林 卓慈ISO審査員

一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。

お問い合わせはこちら
お問い合わせはこちら

RECOMMENDこの記事を読まれた方に
オススメの関連記事

お見積もり依頼 お問い合わせ

Social media & sharing icons powered by UltimatelySocial