参考文献

ISMS 適合性評価制度、情報セキュリティ対策ベンチマーク及び情報セキュリティ監査の 各制度については、専門的な知見に基づく説明書の必要性が高いことから、制度を運用して いるそれぞれの組織が作成した資料を内閣官房が取りまとめた以下の資料を参照されたい。

内容については経済産業省、特定非営利活動法人日本セキュリティ監査協会 (JASA)、財団法 人日本情報処理開発協会及び内閣官房情報セキュリティセンターがタスクフォースを構成し て共同で検討し、その成果を各資料に反映している。

（所在URL http://www.nisc.go.jp/active/general/pdf/dm6-06-061_manual.pdf）

資料1

「外部委託におけるISMS 適合性評価制度の利用方法」

財団法人 日本情報処理開発協会、2006 年5 月

資料2

「外部委託における情報セキュリティ対策ベンチマークの利用方法」

経済産業省、2006 年5 月

資料3

「外部委託における情報セキュリティ監査の利用方法」

特定非営利活動法人 日本セキュリティ監査協会、2006 年5 月

利用の際の参考として、各資料を大学に適用する際に行うべき用語の置換例について下表 に示す。

表  用語対応表 内閣官房情報セキュリティセンター（NISC）

発行文書における用語 本サンプル規程集における用語置換例

府省庁 大学

情報システムセキュリティ責任者 部局技術責任者

省庁基準 ポリシー、実施規程

実施手順 手順

○○省 ○○大学または○○学部

A3114 情報システムの構築等におけるセキュリティ要件及びセキュリティ機能の検 討に関する解説書

  情報システムの構築またはソフトウェアの開発を行う際には、その情報システム等が満たすべ き情報セキュリティ上の条件を「セキュリティ要件」としてまとめ、構築を請け負う者にその実 現を求める必要がある。また、セキュリティ要件を実現させる手段が具体的な機能として定まっ ている場合は、これを「セキュリティ機能」として情報システム等に関する仕様書に反映させる こともある。情報システム等が備えるべきセキュリティ要件やセキュリティ機能は、その情報シ ステム等で扱う情報の性質やシステムを取り巻く環境などによって異なるため、情報システム等 の発注者において個々に検討する必要がある。しかしながら、情報システム等に対する脅威とこ れを防ぐための対策はたえず変化している上に、確保すべき情報セキュリティの水準と必要とな る費用とのバランスなどは情報セキュリティの専門家でなければ適切に判断できないことも多い。

このとき、学内に専門家がいない場合は外部委託先の提案に委ねることにもなりがちであるが、

情報セキュリティの確立の上では大学等が主体的にセキュリティ要件を定めることが重要である ことは言うまでもない。

  内閣官房情報セキュリティセンター（NISC）では政府機関におけるこうしたセキュリティ要件 の検討の便宜を図るため、本文書と同名称の文書を以下のURLで公開している。

DM6-07 情報システムの構築等におけるセキュリティ要件及びセキュリティ機能の

検討に関する解説書

http://www.nisc.go.jp/active/general/pdf/dm6-07-061_manual.pdf

この文書は独立行政法人情報処理推進機構に設置された「政府機関における機器等の購入ガイド ラインに関する研究会」がとりまとめた「政府機関調達者向けのセキュリティ要件作成マニュア ル」（2006年3月）にNISCが政府機関の情報セキュリティ対策のための統一基準（2005年12 月版（全体版初版））に関係する内容を加筆の上公開したものである。政府機関向けであるが、大 学等高等教育機関が情報システムの構築等を外部委託する場合においても有用な内容であるので、

セキュリティ要件やセキュリティ機能を検討する際の参考とすることが望ましい。