ISMSの要求事項の文書の中に「適用宣言書」がある。
情報資産洗い出し⇒リスク分析⇒付属書A133の管理策より管理策採用⇒適用した管理策を「適用宣言書」にまとめる。
具体的には133の管理策と管理目的を適用と適用除外を表にして整理し、管理策と管理目的の選択理由と今実施中の管理策を記し承認し版数管理すればよいと思う。管理策については、別に書きますが、情報セキュリティ基本方針、採用、コンプライアンスに関することなど必須の項目があり必須と書いてあるわけではないので不用意に解釈して不採用にするわけにはいきません。逆に情報セキュリティ上必須であれば、管理策を追加することも可能である。
注意が必要なのは、規格の要求事項に「リスクアセスメントをあらかじめ定めた間隔でレビューする」とあり、毎年最低1回はリスクアセスメントを実施するとになっているので「適用宣言書」にリスクアセスメントの結果が反映されていないとおかしいことになる。具体的にはリスクアセスメントと合わせて改版と承認があればよいと思う。適用宣言書を実際に作りケーススタディから一緒に学んで行きたいと思うので、「適用宣言書」の作り方に悩んでおられたらぜひ勉強会においで下さい。
