• 検索結果がありません。

3.2 情報の取扱い

3.2.6 情報の消去

遵守事項

(1) 電磁的 録 消去方法

基曓遵 事

(a) 行 事 従事者 電磁的 録媒体を廃棄 る場合 情報を復元 困 状態 る 抹消 る いう

(b) 行 事 従事者 電磁的 録媒体を 者 提供 る場合 当 電磁的

録媒体 保 れ 要 要機密情報を抹消 る 強化遵 事

(c) 行 事 従事者 電磁的 録媒体 い 設置環境等 ら必要 ある 認 られる場合 当 電磁的 録媒体 要機密情報を抹消 る

(2) 書面 廃棄方法 基曓遵 事

(a) 行 事 従事者 要機密情報 ある書面を廃棄 る場合 復元 困 状 態 る

第 部 情報セキュリテ 要件の明確化に基 く対策

4.1 情報セキュリテ に い の機能

4.1.1 主体認証機能

遵守事項

(1) 主体認証機能 入 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘ い 主体認証

を行う必要性 暼無を検討 る 場合 要保護情報を り扱う情報クケ ゾヘ い 主体認証を行う必要性 ある 断 る

(b) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク ケゾヘ い 識 及び主体認証を行う機能を設 る

(c) 情報クケゾヘコゥポモゾ゛管理者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 主体認証情報を秘密 る必要 ある場合 当 主体認証 情報 明ら ら いよう 管理 る

(゚) 主体認証情報を保 る場合 内容 暗 化を行う (゜) 主体認証情報を通信 る場合 内容 暗 化を行う

(ゞ) 保 又 通信を行う 暗 化を行う い場合 利用者 自

ら 主体認証情報を設定 変更 提供 入力 る 暗 化 行われ い を通知 る

(d) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 利用者 主体認証情報 定期的 変更を求 る場合 利用 者 対 定期的 変更を 機能 い れ 機能を設 る

(゚) 利用者 定期的 変更 いる 否 を確認 る機能

(゜) 利用者 定期的 変更 れ 情報クケゾヘ 利用を い機能 (e) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 主体認証情報又 主体認証情報格納装置を 者 使用 れ 又 使用 れる危険性を認識 場合 直 当 主体認証情報若 主体認 証情報格納装置 よる主体認証を停 る機能又 れ 対応 る識 カヴチ よる情報クケゾヘ 利用を停 る機能を設 る

(f) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 知識 よる主体認証方式を用いる場合 機能を設 る

(゚) 利用者 自ら 主体認証情報を設定 る機能

(゜) 利用者 設定 主体認証情報を 者 容易 知る いよう 保 持 る機能

(g) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 知識 暼 生体情報 外 主体認証方式を用いる場合

要件を定 る 事 適用 能 う を検証 当

主体認証方式 適用 る 能 要件を 満 (゚) 当 主体 外 主体認証を 諾 い 誤認 防

(゜) 当 主体 曓人 責任 い理由 主体認証を拒否 れ い 誤否 防

(ゞ) 当 主体 容易 者 主体認証情報を付 発行 更新及び変更を含

い 及び貸 い 理 防

(゠) 主体認証情報 容易 複製 い 複製 防

(ア) 情報クケゾヘコゥポモゾ゛管理者 断 より ュエアンを個々 無効化 る手段 ある 無効化 確保

(ィ) 必要時 中断 る 主体認証 能 ある 用性 確保

(ゥ) 新 主体を追加 る 外部 ら 情報や装置 供給を必要 る場

合 れら 供給 情報クケゾヘ 耐用期間 間 十 られる 性 確保

(ェ) 主体 付 主体認証情報を使用 る 能 当 主体 対 主体認証情報を 全 再発行 る 再発行 確保 (h) 情報クケゾヘコゥポモゾ゛責任者 生体情報 よる主体認証方式を用いる場合

当 生体情報を曓人 ら事前 意を得 目的 外 目的 使用 い 当 生体情報 い 曓人 ハメ゜トクヴを侵害 いよう 留意 る

強化遵 事

(i) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク ケゾヘ い 複数要素 複合 主体認証方式 主体認証を行う機能を設 る

(j) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い ュエアン 利用者 対 前回 ュエアン る情報を 通知 る機能を設 る

(k) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い ュエアン よう る行 を検知 又 防 る機能 を設 る

(l) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 利用者 情報クケゾヘ ュエ゜ン る前 当 情報クケゾヘ 利用 る通知ベセコヴグを表示 る機能を設 る

(m) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク

ケゾヘ い 利用者 主体認証情報 定期的 変更を求 る場合 前 設定 主体認証情報 を再設定 る を防 る機能を設 る

(n) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク ケゾヘ い 管理者権限を持 識 カヴチを共用 る場合 当 識 カ

ヴチ ュエ゜ン る前 個 識 カヴチ よりュエアン る 必要 る 機能を設 る

(2) 識 カヴチ 管理

基曓遵 事

(a) 行 事 従事者 主体認証 自己 付 れ 識 カヴチ 外 識 カヴ

チを用い 情報クケゾヘを利用 い

(b) 行 事 従事者 自己 付 れ 識 カヴチを 者 主体認証 用いる目的 付 及び貸 い

(c) 行 事 従事者 自己 付 れ 識 カヴチを れを知る必要 い者 知られるよう 状態 置 い

(d) 行 事 従事者 行 事 識 カヴチを利用 る必要 場

合 を情報クケゾヘコゥポモゾ゛管理者 届 出る 個 届出 必要 い 情報クケゾヘコゥポモゾ゛責任者 定 いる場合 限り い

強化遵 事

(e) 行 事 従事者 管理者権限を持 識 カヴチを付 れ 場合 管理者 業 遂行時 限定 当 識 カヴチを利用 る

(3) 主体認証情報 管理 基曓遵 事

(a) 行 事 従事者 主体認証情報 者 使用 れ 又 危険 発生 場

合 直 情報クケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛

管理者 を報告 る

(b) 情報クケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛管理者 主体

認証情報 者 使用 れ 又 危険 発生 報告を 場合 必要 措置を講 る

(c) 行 事 従事者 知識 よる主体認証情報を用いる場合 管理を徹 底 る

(゚) 自己 主体認証情報を 者 知られ いよう 管理 る (゜) 自己 主体認証情報を 者 教え い

(ゞ) 主体認証情報を忘 いよう 努 る

(゠) 主体認証情報を設定 る 容易 推測 れ い る

(ア) 情報クケゾヘコゥポモゾ゛管理者 ら主体認証情報を定期的 変更 るよう 指示 れ いる場合 指示 従 定期的 変更 る

(d) 行 事 従事者 暼 よる主体認証を用いる場合 管理を徹底 る

(゚) 主体認証情報格納装置を曓人 意 使われる いよう 全措 置を講 管理 る

(゜) 主体認証情報格納装置を 者 付 及び貸 い

(ゞ) 主体認証情報格納装置を紛失 いよう 管理 る 紛失 場合

直 情報クケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛管理 者 を報告 る

(゠) 主体認証情報格納装置を利用 る必要 場合 れを情報ク ケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛管理者 返還 る

4.1.2 セス制御機能

遵守事項

(1) ゚ェコケ制御機能 入 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘ い ゚ェコケ

制御を行う必要性 暼無を検討 る 場合 要保護情報を り扱う情報 クケゾヘ い ゚ェコケ制御を行う必要 ある 断 る

(b) 情報クケゾヘコゥポモゾ゛責任者 ゚ェコケ制御を行う必要 ある 認 情

報クケゾヘ い ゚ェコケ制御を行う機能を設 る 強化遵 事

(c) 情報クケゾヘコゥポモゾ゛責任者 ゚ェコケ制御を行う必要 ある 認 情

報クケゾヘ い 利用者及び 属 るエャヴハ 属性 外 基 ゚ェコケ 制御 機能を追加 る

(d) 情報クケゾヘコゥポモゾ゛責任者 ゚ェコケ制御を行う必要 ある 認 情 報クケゾヘ い 強制゚ェコケ制御機能を設 る

(2) 適 ゚ェコケ制御 基曓遵 事

(a) 行 事 従事者 情報クケゾヘ 装備 れ 機能を用い 当 情報クケゾヘ

保 れる情報 格付 扱制限 指示内容 従 必要 ゚ェコケ制御 設定を る

4.1.3 権限管理機能

遵守事項

(1) 権限管理機能 入 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘ い 権限管理 を行う必要性 暼無を検討 る 場合 要保護情報を り扱う情報クケ ゾヘ い 権限管理を行う必要 ある 断 る

(b) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク

ケゾヘ い 権限管理を行う機能を設 る 強化遵 事

(c) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 暷少特権機能を設 る

(d) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 主体認証情報 再発行を自動 行う機能を設 る

(e) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い タポ゚ャュセェ機能を設 る

(2) 識 カヴチ 主体認証情報 付 管理 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク

ケゾヘ い 共用識 カヴチ 利用許 い 情報クケゾヘ 必要性を 断 る

(b) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 権限管理 い 事 を含 手 を定 る

(゚) 主体 ら 申請 基 い 権限管理を行う場合 申請者 当 主 体 ある を確認 る 手

(゜) 主体認証情報 初期配布方法及び変更管理手 (ゞ) ゚ェコケ制御情報 設定方法及び変更管理手

(c) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 権限管理を行う者を定 る

(d) 権限管理を行う者 情報クケゾヘを利用 る許 を得 主体 対 識 カヴチ及び主体認証情報を発行 る

(e) 権限管理を行う者 識 カヴチを発行 る れ 共用識 カヴチ 共 用 い識 カヴチ 区 を利用者 通知 る

(f) 権限管理を行う者 管理者権限を持 識 カヴチを 業 又 業 責

場合 限定 付 発行 更新及び変更を含 い る

(g) 権限管理を行う者 行 事 従事者 情報クケゾヘを利用 る必要

場合 当 行 事 従事者 識 カヴチを無効 る 人事異 動等 より 識 カヴチを追加 又 削除 る時 要 識 カヴチ 暼無 を 検 る

(h) 権限管理を行う者 行 事 従事者 情報クケゾヘを利用 る必要

場合 当 行 事 従事者 交付 主体認証情報格納装置を返還 る

(i) 権限管理を行う者 業 責 必要性を 案 必要暷 限 範 限 許 を えるよう ゚ェコケ制御 設定を る 人事異動等 より 識 カヴチを追加 又 削除 る時 適 ゚ェコケ制御設定 暼無を

関連したドキュメント