適用宣言書(SoA:Statement of Applicability)|情報処理安全確保支援士 シラバス準拠予想問題2 問12

ISMSにおける適用宣言書(SoA:Statement of Applicability)の説明として,最も適切なものはどれか。
  • ア:識別したリスクについて,発生可能性,影響度,リスク所有者,対応方針などを一覧化し,リスク対応の管理に用いる文書である。
  • イ:組織の情報セキュリティに関する基本的な考え方,目的,責任,遵守事項などを経営層の方針として示す文書である。
  • ウ:ISMSの管理策について,リスクアセスメント及びリスク対応の結果に基づき,採用した管理策と除外した管理策,その理由などを示す文書である。
  • エ:内部監査で確認した事項,発見した不適合,改善のための指摘事項などをまとめ,監査結果を報告する文書である。
解説

ISMSにおける適用宣言書(SoA:Statement of Applicability)は、ISMSで用いる管理策について、採用した管理策と除外した管理策、その理由などを示す文書です。

適用宣言書は、リスクアセスメント及びリスク対応の結果を踏まえて作成されます。どの管理策を適用するのか、なぜその管理策を採用するのか、また適用しない管理策がある場合はなぜ除外するのかを明確にする点が重要です。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:識別したリスクについて,発生可能性,影響度,リスク所有者,対応方針などを一覧化し,リスク対応の管理に用いる文書である。
⇒リスク登録簿やリスク管理表に近い説明です。識別したリスクとその評価結果・リスク所有者・対応方針などを管理する文書であり、管理策の採用・除外とその理由を示す適用宣言書とは異なります。
イ:組織の情報セキュリティに関する基本的な考え方,目的,責任,遵守事項などを経営層の方針として示す文書である。
⇒情報セキュリティ方針の説明です。組織として情報セキュリティをどのように考え、何を守るのかを示す上位方針であり、具体的な管理策の適用状況を示す適用宣言書とは役割が異なります。
エ:内部監査で確認した事項,発見した不適合,改善のための指摘事項などをまとめ,監査結果を報告する文書である。
⇒内部監査報告書の説明です。内部監査の結果をまとめる文書であり、ISMSの管理策について採用・除外の理由を示す適用宣言書ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

ISMSにおける適用宣言書(SoA)は、リスクアセスメント及びリスク対応の結果に基づき、どの管理策を採用し、どの管理策を除外したのか、その理由を示す文書です。ポイントは、管理策の採用・除外とその根拠を明確にすることです。

迷ったときの判断軸

発生可能性・影響度・リスク所有者などを一覧化するものはリスク登録簿、組織の基本的な考え方や目的を示すものは情報セキュリティ方針、監査結果をまとめるものは内部監査報告書です。適用宣言書は、ISMSの管理策を組織にどう適用するかを示す文書と判断しましょう。

科目Bにつなげるために

科目Bでは、リスクアセスメントの結果から、アクセス制御・暗号化・ログ監視・委託先管理などの管理策を選ぶ場面が出ることがあります。適用宣言書では、管理策を選んだ理由だけでなく、除外した管理策についても合理的な理由を説明できるかを確認する視点を持ちましょう。