Dejan Kosutic 適用宣言書(SoAとも呼ばれる)の重要性は、一般に通常過小評価されています。適用宣言書は、ISO 9001における品質マニュアルの様に、情報セキュリティの大部分の実施方法を定義し中心的な役割を果たす文書です。
実際、適用宣言書はリスクアセスメントやリスク対応を情報セキュリティの実施に結びつける主な接点となります。その目的は、ISO 27001附属書Aで提案されている133の管理策(セキュリティ対策)のどれを適用するか、そして、適用可能な管理策をどのように実施するかを指定することです。
適用宣言書はなぜ必要か
すでにリスクアセスメント報告(これも必須)を作成済みで、その中にも必要な管理策は指定されているのに、適用宣言書のような文書が必要なのはなぜでしょうか。その理由は以下の通りです。
- まず第一に、リスク対応時に特定する管理策は、リスクを減らすために必要な管理策です。けれども、適用宣言書の中で特定する管理策には、法律、契約上の要求事項、他のプロセスの都合など、それ以外の理由で必要なものもあります。
- 第二に、リスクアセスメント報告は非常に長くなることがあります。組織によっては特定されるリスクの数は数千個(あるいはそれ以上)にもなる可能性があるので、そのような文書は実際の日常業務にはあまり役立ちません。それに対し、適用宣言書はより短くてすみます。適用宣言書は133行(1行が1個の管理策を表現)しかないので、経営陣に提示することも最新の状態を維持することも可能です。
- 第三に、これが最も重要ですが、適用宣言書には適用可能な管理策が導入済みかどうかを記載する必要があります。 例えば、文書(方針/手順/作業指示書など)を参照したり、使用する手順や装置を説明したりして、適用可能な各管理策の実施方法も記述するのがベスト・プラクティスです(監査員の多くもこれに注目します)。
実際、ISO 27001認証を取得する際には、認証審査員は適用宣言書を見ながら社内を歩き回って、適用宣言書に記述された通りに管理策が実施されているかどうかをチェックします。したがって、適用宣言書は現地監査を行う際に中心的な役割を果たす文書です。
質の高い適用宣言書を書くと文書の数を減らせることに気付いている会社はごくわずかです。たとえば、文書化したい管理策があって、その管理策の手順の説明がそれほど長くない場合には、適用宣言書に記載することができます。そうすれば、他の文書を書くことを避けられるでしょう。
適用宣言書はなんの役に立つか
私の経験では、ISO 27001に従って情報セキュリティマネジメントシステムを導入している会社の多くは、適用宣言書の記載に予想以上の時間を費やしています。なぜかというと、新しい装置を購入するか、手順を変変更するか、新しい従業員を雇うか、など、管理策の実施方法を考える必要があるからです。これは極めて重要な(そしてしばしばコストのかかる)決断なので、それに時間がかかることは驚くにはあたりません。適用宣言書のよいところは、体系的に仕事を行うことを組織に強制することです。
したがって、この文書を実用性のない形式的な書類の一つと考えるべきではありません。適用宣言書は、情報セキュリティでやりたいことを定義する基本的な宣言書であると考えてください。適切に書かれた適用宣言書は、情報セキュリティに関して、何を、何故、どのように行う必要があるのかを示す完全な見取り図となります。
適用性の文のサンプルを見るには、ここをクリックしてください。