ダークモード

適用宣言書(Statement of Applicability)

関連: 6.1.3 d) 適用宣言書管理策一覧

1. 目的

本書は、{{組織名}}の ISMS において、ISO/IEC 27001:2022 附属書 A に規定された 93 項目の管理策について、適用の有無及びその理由を宣言することを目的とする。

2. 適用範囲

本書は、{{組織名}}の ISMS 適用範囲({{適用範囲}})に適用する。

3. 凡例

記号意味
O適用する
X適用しない
P部分的に適用する

4. 管理策の適用状況

関連: 6.1.3 情報セキュリティリスク対応

A.5 組織的管理策(37項目)

No.管理策適用適用/除外の理由実施状況実装文書
A.5.1情報セキュリティのための方針群O規格要求事項{{実施状況}}情報セキュリティ方針
A.5.2情報セキュリティの役割及び責任O規格要求事項{{実施状況}}ISMSマニュアル
A.5.3職務の分離Oリスク対応として必要{{実施状況}}アクセス制御方針
A.5.4経営陣の責任O規格要求事項{{実施状況}}ISMSマニュアル
A.5.5関係当局との連絡O法的要求事項{{実施状況}}関係当局との連絡
A.5.6専門組織との連絡Oベストプラクティス{{実施状況}}専門組織との連絡
A.5.7脅威インテリジェンスOリスク対応として必要{{実施状況}}脅威インテリジェンス
A.5.8プロジェクトマネジメントにおける情報セキュリティOリスク対応として必要{{実施状況}}プロジェクトマネジメントにおける情報セキュリティ
A.5.9情報及びその他の関連資産の目録O規格要求事項{{実施状況}}情報資産台帳
A.5.10情報及びその他の関連資産の利用の許容範囲Oリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.5.11資産の返却Oリスク対応として必要{{実施状況}}従業員向けセキュリティガイドライン
A.5.12情報の分類Oリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.5.13情報のラベル付けOリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.5.14情報転送Oリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.5.15アクセス制御Oリスク対応として必要{{実施状況}}アクセス制御方針
A.5.16識別情報の管理Oリスク対応として必要{{実施状況}}アクセス制御方針
A.5.17認証情報Oリスク対応として必要{{実施状況}}アクセス制御方針従業員向けセキュリティガイドライン
A.5.18アクセス権Oリスク対応として必要{{実施状況}}アクセス制御方針
A.5.19供給者関係における情報セキュリティOリスク対応として必要{{実施状況}}サプライヤー管理方針
A.5.20供給者との合意における情報セキュリティの取扱いOリスク対応として必要{{実施状況}}サプライヤー管理方針
A.5.21ICTサプライチェーンにおける情報セキュリティの管理Oリスク対応として必要{{実施状況}}サプライヤー管理方針
A.5.22供給者のサービス提供の監視、レビュー及び変更管理Oリスク対応として必要{{実施状況}}サプライヤー管理方針
A.5.23クラウドサービスの利用における情報セキュリティOリスク対応として必要{{実施状況}}サプライヤー管理方針クラウドサービスの利用における情報セキュリティ
A.5.24情報セキュリティインシデント管理の計画策定及び準備O規格要求事項{{実施状況}}インシデント対応手順
A.5.25情報セキュリティ事象の評価及び決定Oリスク対応として必要{{実施状況}}インシデント対応手順
A.5.26情報セキュリティインシデントへの対応Oリスク対応として必要{{実施状況}}インシデント対応手順
A.5.27情報セキュリティインシデントからの学習O継続的改善のため{{実施状況}}インシデント報告書是正処置記録
A.5.28証拠の収集O法的要求事項{{実施状況}}インシデント報告書
A.5.29事業の中断・阻害時の情報セキュリティOリスク対応として必要{{実施状況}}事業継続計画
A.5.30事業継続のための ICT の備えOリスク対応として必要{{実施状況}}事業継続計画
A.5.31法的、法令及び規制要求事項の識別O法的要求事項{{実施状況}}法的・規制要求事項一覧
A.5.32知的財産権O法的要求事項{{実施状況}}法的・規制要求事項一覧
A.5.33記録の保護O法的要求事項{{実施状況}}ISMSマニュアル記録の保護
A.5.34プライバシー及び PII の保護O法的要求事項{{実施状況}}法的・規制要求事項一覧
A.5.35情報セキュリティの独立したレビューO規格要求事項{{実施状況}}内部監査手順
A.5.36情報セキュリティのための方針群、規則及び標準の順守O規格要求事項{{実施状況}}監視・測定記録
A.5.37文書化した運用手順Oリスク対応として必要{{実施状況}}ISMSマニュアル文書化した運用手順

A.6 人的管理策(8項目)

No.管理策適用適用/除外の理由実施状況実装文書
A.6.1選考Oリスク対応として必要{{実施状況}}選考
A.6.2雇用条件Oリスク対応として必要{{実施状況}}従業員向けセキュリティガイドライン
A.6.3情報セキュリティの意識向上、教育及び訓練O規格要求事項{{実施状況}}教育訓練記録従業員向けセキュリティガイドライン
A.6.4懲戒プロセスOリスク対応として必要{{実施状況}}是正処置手順
A.6.5雇用の終了又は変更後の責任Oリスク対応として必要{{実施状況}}従業員向けセキュリティガイドライン
A.6.6秘密保持契約又は守秘義務契約O法的要求事項{{実施状況}}サプライヤー管理方針従業員向けセキュリティガイドライン
A.6.7リモートワークOリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.6.8情報セキュリティ事象の報告O規格要求事項{{実施状況}}インシデント対応手順従業員向けセキュリティガイドライン

A.7 物理的管理策(14項目)

No.管理策適用適用/除外の理由実施状況実装文書
A.7.1物理的セキュリティ境界Oリスク対応として必要{{実施状況}}物理的セキュリティ境界
A.7.2物理的入退Oリスク対応として必要{{実施状況}}物理的入退
A.7.3オフィス、部屋及び施設のセキュリティOリスク対応として必要{{実施状況}}オフィス、部屋及び施設のセキュリティ
A.7.4物理的セキュリティの監視Oリスク対応として必要{{実施状況}}物理的セキュリティの監視
A.7.5物理的及び環境的脅威からの保護Oリスク対応として必要{{実施状況}}事業継続計画
A.7.6セキュリティを保つべき領域での作業Oリスク対応として必要{{実施状況}}セキュリティを保つべき領域での作業
A.7.7クリアデスク・クリアスクリーンOリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.7.8装置の設置及び保護Oリスク対応として必要{{実施状況}}装置の設置及び保護
A.7.9構外にある資産のセキュリティOリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.7.10記憶媒体Oリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.7.11サポートユーティリティOリスク対応として必要{{実施状況}}事業継続計画
A.7.12ケーブル配線のセキュリティOリスク対応として必要{{実施状況}}ケーブル配線のセキュリティ
A.7.13装置の保守Oリスク対応として必要{{実施状況}}装置の保守
A.7.14装置のセキュリティを保った処分又は再利用Oリスク対応として必要{{実施状況}}装置のセキュリティを保った処分又は再利用

A.8 技術的管理策(34項目)

No.管理策適用適用/除外の理由実施状況実装文書
A.8.1利用者エンドポイント機器Oリスク対応として必要{{実施状況}}情報の許容される利用方針従業員向けセキュリティガイドライン
A.8.2特権的アクセス権Oリスク対応として必要{{実施状況}}アクセス制御方針エンジニア向けセキュリティガイドライン
A.8.3情報へのアクセス制限Oリスク対応として必要{{実施状況}}アクセス制御方針エンジニア向けセキュリティガイドライン
A.8.4ソースコードへのアクセスOリスク対応として必要{{実施状況}}アクセス制御方針エンジニア向けセキュリティガイドライン
A.8.5セキュリティを保った認証Oリスク対応として必要{{実施状況}}アクセス制御方針エンジニア向けセキュリティガイドライン
A.8.6容量・能力の管理Oリスク対応として必要{{実施状況}}事業継続計画エンジニア向けセキュリティガイドライン
A.8.7マルウェアに対する保護Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.8技術的ぜい弱性の管理Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.9構成管理Oリスク対応として必要{{実施状況}}情報資産台帳技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.10情報の削除O法的要求事項{{実施状況}}法的・規制要求事項一覧エンジニア向けセキュリティガイドライン
A.8.11データマスキングOリスク対応として必要{{実施状況}}エンジニア向けセキュリティガイドライン
A.8.12データ漏えいの防止Oリスク対応として必要{{実施状況}}エンジニア向けセキュリティガイドライン
A.8.13情報のバックアップOリスク対応として必要{{実施状況}}事業継続計画
A.8.14情報処理施設の冗長性Oリスク対応として必要{{実施状況}}事業継続計画
A.8.15ログ取得Oリスク対応として必要{{実施状況}}監視・測定記録技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.16監視活動Oリスク対応として必要{{実施状況}}監視・測定記録技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.17クロックの同期Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.18特権的なユーティリティプログラムの使用Oリスク対応として必要{{実施状況}}アクセス制御方針エンジニア向けセキュリティガイドライン
A.8.19運用システムに関わるソフトウェアの導入Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.20ネットワークのセキュリティOリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.21ネットワークサービスのセキュリティOリスク対応として必要{{実施状況}}サプライヤー管理方針技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.22ネットワークの分離Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.23ウェブ・フィルタリングOリスク対応として必要{{実施状況}}情報の許容される利用方針技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.24暗号の使用Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.25セキュリティに配慮した開発のライフサイクルOリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.26アプリケーションのセキュリティの要求事項Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.27セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.28セキュリティに配慮したコーディングOリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.29開発及び受入れにおけるセキュリティ試験Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.30外部委託による開発Oリスク対応として必要{{実施状況}}サプライヤー管理方針エンジニア向けセキュリティガイドライン
A.8.31開発環境、試験環境及び運用環境の分離Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.32変更管理Oリスク対応として必要{{実施状況}}技術的セキュリティ方針エンジニア向けセキュリティガイドライン
A.8.33試験情報Oリスク対応として必要{{実施状況}}エンジニア向けセキュリティガイドライン
A.8.34監査試験中の情報システムの保護Oリスク対応として必要{{実施状況}}内部監査手順エンジニア向けセキュリティガイドライン

5. 管理策の適用状況サマリー

カテゴリ項目数適用除外部分適用
A.5 組織的管理策37{{数}}{{数}}{{数}}
A.6 人的管理策8{{数}}{{数}}{{数}}
A.7 物理的管理策14{{数}}{{数}}{{数}}
A.8 技術的管理策34{{数}}{{数}}{{数}}
合計93{{数}}{{数}}{{数}}

6. 関連文書

改訂履歴

日付変更内容承認者
1.0{{発効日}}初版作成{{承認者}}