適用宣言書
「適用宣言書」(statement of applicability)とは、
ISO/IEC270001(JISQ27001)において、以下の通り定義されています。
「 その組織のISMS に関連して適用する管理目的及び管理策を記述した文書。」
注記 管理目的及び管理策は,組織の情報セキュリティに対する,次のものに基づく。
- リスクアセスメント及びリスク対応のプロセスの結果及び結論
- 法令又は規制の要求事項
- 契約上の義務
- 事業上の要求事項
ISO/IEC270001(JISQ27001)の4.2.1項「ISMSの確立」のj) 項において、
j) 適用宣言書を作成する。
「適用宣言書は,次を含むように作成しなければならない。
1) 4.2.1 g)によって選択した管理目的及び管理策,並びにそれらを選択した理由
2) 現在実施している管理目的及び管理策[4.2.1 e) 2) 参照]
3) 附属書A に規定された管理策の中で適用除外とした管理目的及び管理策,並びにそれらを適用除外とすることが正当である理由
注記 適用宣言書は,リスク対応に関する決定の概要を提供する。適用除外に対する理由付けは,不注意による管理策の抜けを起こさないための点検手段を提供する。」
たとえば、一般には、よくある品質マニュアルの表紙のようなスタイルにして、「適用宣言書」(第 ○○版、文書番号xxxxx)、改定日:年月日、制定日:年月日、また作成、承認などの押印欄を作成し、これを表紙にすれば良いかと思われます。
また内容は、ISO27001の付属書AのA5「セキュリティ基本方針」からA15「順守」までの管理策について、「採用の可否」および「採用/除外理由」のマトリックス表を作成して、「採用の可否」の欄には、○、×、「採用/除外理由」の欄には、- リスクアセスメント及びリスク対応のプロセスの結果及び結論,- 法令又は規制の要求事項,- 契約上の義務,- 事業上の要求事項などを記載。さらに除外の場合には、「該当する業務なし」、「外部委託」などの理由を簡潔に記載すればよいかと思われます。
当サイトでは、第三者配信による広告サービスを利用しています。
このような広告配信事業者は、ユーザーの興味に応じた商品やサービスの広告を表示するため、当サイトや他サイトへのアクセスに関する情報 (氏名、住所、メール アドレス、電話番号は含まれません) を使用することがあります。
取得したホスト情報などについては、広告利用状況の集計にのみ利用することをお約束します。
このプロセスの詳細やこのような情報が広告配信事業者に使用されないようにする方法については、ここをクリックしてください。
サイト管理者
【ISO27001(情報セキュリティMS), てカテゴリーの関連記事】
・ISO/IEC 15408 |
| 【このページをソーシャルブックマークしてみんなに紹介する!】 | |
 Yahoo!ブックマーク |
 はてなブックマーク |
 livedoorクリップ |
 FC2ブックマーク |
 Buzzurlブックマーク |
 newsingブックマーク |
 イザ!ブックマーク |
 del.icio.usブックマーク |
 ニフティクリップ |
 BlogPeople Instant Bookmark |
 PingKingポッケ |
|
適用宣言書を最後までお読下さいましてありがとうございます。
に関するトラックバックやコメントを受け付けています。
に関する記事をお持ちの方や関連のブログをご紹介ください。
必ず訪問させて頂きます。
このエントリーを友達に紹介する!
トラックバックを受け付けています
このエントリーのトラックバックURL:
http://blog.isovocabulary.com/mt/mt-tb.cgi/51
