ISMAP管理基準2.2.4において、言明において対象外とする管理策が存在する場合には、選択しない理由を記載することが要求されておりますが、その理由は詳細管理策ごとに個別に記載する必要があるのでしょうか。

　言明において対象外とする管理策が存在する場合、選択しない理由は詳細管理策ごとに個別に記載する必要があります。ただし、その内容については、「X.X.X.の統制目標についてはX.X.X.Aの実施により達成しているため、X.X.X.B~X.X.X.Fまでの管理策は選択していない」という説明や、「このサービスのセキュリティ対策の思想として～という方針の下選択しており、この考えに基づくと、X.X.Xは統制目標として選択しえない」といった説明によりその合理性を言明する方法等が想定されます。