分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

適用宣言書とは、その組織が情報セキュリティマネジメントシステムに適用する管理策及びその目的を記述した文書です。JIS Q 27001:2014によれば、適用宣言書は、リスクアセスメントの結果を受けて情報セキュリティリスク対応のプロセスで作成することになっています。

• 手順が逆で、適用宣言書を基にリスク対応計画を策定します。
• 正しい。組織は必要な管理策を特定した後、それを附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証します。そして適用宣言書には次の事項を記載します。
  • 必要な管理策及びそれらの管理策を含めた理由
  • それらの管理策を実施しているか否か
  • 附属書Aに規定する管理策を除外した理由
• 情報セキュリティリスク対応の選択肢の選定は、リスクアセスメントの結果を考慮して行うとされています。手順としては、①リスクアセスメント、②情報セキュリティリスク対応の選択肢の選定、③適用宣言書の作成、④情報セキュリティリスク対応計画の策定になります。
• リスクの特定はリスクアセスメントのプロセスです。適用宣言書の作成はリスクアセスメントの実施後に行います。