適用宣言書

その組織のISMSに関連した適用する管理目的及び管理策を記述した文書のこと。
つまり、組織の情報セキュリティ対策に関する考え方を明確にした文書といえます。

文章には、経営陣の決定に関する記録もふくめなければなりません。また、文書は、とった処置から、経営陣の方針及び決定へたどれること、並びに記録した結果が再現可能であることを確実にしなければなりません。
選択した管理策からリスクアセスメント及びリスク対応のプロセスまで、さらにはISMSの基本方針及び目的までにつながる関係を説明できることが重要です。

以上のことから、適用宣言書には以下の内容を含むことが求められます。

• 選択した管理目的と管理策、そしてそれらを選択した理由。
• 附属書A(※)に規定された管理策の中で適用除外としたものと、その理由。

※セキュリティ基本方針などを明記した書類

• ISMS
• 情報セキュリティ
• リスクアセスメント