府省庁対策基準・対策推進計画の策定

目的・趣旨

府省庁の情報セキュリティ水準を適切に維持し、情報セキュリティリスクを総合的に低 減させるためには、府省庁として遵守すべき対策の基準を定めるとともに、情報セキュリテ ィに係るリスク評価の結果を踏まえ、計画的に対策を実施することが重要である。

遵守事項

(1) 府省庁対策基準の策定

(a) 最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、

統一基準に準拠した府省庁対策基準を定めること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.1.2(1)(a)「府省庁対策基準」について

府省庁対策基準については、最高情報セキュリティ責任者がこれを定める必要があ る。

なお、当該基準の案の策定については、最高情報セキュリティ責任者が指定した者に 委任することができる。

35 遵守事項

(2) 対策推進計画の策定

(a) 最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、

情報セキュリティ対策を総合的に推進するための計画（以下「対策推進計画」と いう。）を定めること。また、対策推進計画には、府省庁の業務、取り扱う情報及 び保有する情報システムに関するリスク評価の結果を踏まえた全体方針並びに以 下に掲げる取組の方針・重点及びその実施時期を含めること。

(ア) 情報セキュリティに関する教育 (イ) 情報セキュリティ対策の自己点検 (ウ) 情報セキュリティ監査

(エ) 情報システムに関する技術的な対策を推進するための取組

(オ) 前各号に掲げるもののほか、情報セキュリティ対策に関する重要な取組

【 基本対策事項 】規定なし

（解説）

遵守事項2.1.2(2)(a)「対策推進計画」について

対策推進計画は、情報セキュリティ対策に関する一連の取組を対象とした全体計画 であり、情報セキュリティ対策に関する取組の全体方針のほか、遵守事項2.1.2(2)(a)の 各号に掲げる情報セキュリティ対策に関する個々の取組について、全体方針に応じた 個々の方針や重点、大まかな実施（予定）時期を設定するものである。

対策推進計画は、府省庁が組織として、種々の情報セキュリティ対策を如何なる考え 方や方向性に基づいて進めていくのかといった一連の取組全体の大枠について、最高 情報セキュリティ責任者があらかじめ総合的に定めるものであり、個々の取組の実施 に当たって詳細計画が必要となる場合は、対策推進計画に則して、それぞれの取組の責 任者がその権限の下に詳細計画を策定する。

遵守事項2.1.2(2)(a)「リスク評価の結果を踏まえた全体方針」について

情報セキュリティ対策は、情報セキュリティを取り巻く様々な脅威や、組織及び取り 扱う情報の特性等を踏まえたリスクの分析・評価を行った上で、対策の方針や優先度を 判断し、計画的に推進することが重要である。また、限られた予算や人的資源を最大限 に活用して情報セキュリティ対策を推進するためには、対策全体としての方向付けを 行った上で個々の対策を実施していくことが必要である。

全体方針としては、例えば、優先的に対応すべき脅威や優先的に対策を講ずるべき対 象を設定し、それらへの対応を重点として掲げることが考えられる。

また、自組織の目的等を踏まえ、情報セキュリティ対策の自己点検の結果やサイバー セキュリティ基本法第25条第１項第２号に基づく監査（以下「本部監査」という。）の 結果等を考慮した上で、保有する情報及び利用する情報システムに係る脅威の発生の 可能性及び顕在時の損失等を分析し、リスクを評価し、必要となる情報セキュリティ対

36 策を講ずることが求められる。

遵守事項2.1.2(2)(a)「取組の方針・重点」について

遵守事項 2.1.2(2)(a)の各号に掲げる情報セキュリティ対策に関する個々の取組の方

針・重点は、全体方針を踏まえ、例えば、情報セキュリティ対策の教育において、特定 の脅威（例：標的型攻撃、サプライチェーン・リスク）、特定の対象（例：業務の内容 や役職に応じた者）、特定の内容（例：府省庁対策基準の改正点）を掲げることが考え られる。

基本対策事項2.1.2(2)(a)(エ）「情報システムに関する技術的な対策を推進するための取 組」について

情報システムに関する技術的な対策を推進するための取組としては、高度サイバー 攻撃対処のためのリスク評価等のガイドラインに基づく取組等、政府全体としての取 組のほか、府省庁において独自に推進している技術的な対策を含めることが望ましい。

技術的対策には、情報システムを構成する機器等の更新等の投資による対策も含まれ る。

37