第 5 部 情報シス の サ
5.2 情報シス の サ の各段階におけ 対策
5.2.1 情報シス の企画 要件定義
目的 趣旨
情報 全般 通 情報 ュ 適 維持
情報 企画段階 い 適 ュ 要件 定義 必要 あ ュ 要件 曖昧 過 足 過剰 情報 ュ 対策 伴う 増加
要件解釈 提案 容 差異 公 競 入 設計 開発 工程 手戻 運用開始 情報 ュ ン ン 発生 い 利益 生
能性 繋
情報 対象 業 業 い 扱う情報 情報 扱う
者 情報 処理 用い 環境 手段等 考慮 当 情報 い 想定 威 対策 検討 必要十 ュ 要件 様 適 組 込
重要
加え 構築 情報 弱性 混入 防 対策 構築前 企画 段階 考慮 重要
情報 構築 運用 保 外部委 場合 い 4.1節 外部委 い 併 遵 必要 あ
遵守事項
(1) 実施体制 確保
(a) 情報 ュ 責任者 情報 全般 わ
情報 ュ 維持 能 体制 確保 情報 統括 責任 者 求
(b) 情報 ュ 責任者 基 情報 利用 情報
構築 場合 基 情報 整備 運用管理 府省庁 定 運用管理規程等 応 体制 整備 情報 統括 責任者 求
(2) 情報 ュ 要件 策定
(a) 情報 ュ 責任者 情報 構築 目的 対象 業
等 業 要件及び当 情報 扱わ 情報 格付等 基 構築
情報 ン ネ ン ネ 接 情報
含 要否 断
含 情報 ュ 要件 策定
( ) 情報 組 込 主体認証 制御 権限管理 管理 暗
化機能等 ュ 機能要件
( ) 情報 運用時 視等 運用管理機能要件
( ) 情報 連 弱性 い 対策要件
32
(b) 情報 ュ 責任者 ン ネ 回線 接 情報
構築 場合 接 ン ネ 回線 定 標的型攻撃 始
ン ネ 様々 攻撃 情報 漏えい 改 等
減 多重防御 ュ 要件 策定
(c) 情報 ュ 責任者 国民 企業 府 間 申請及び届出等
ン ン手 提供 い ン ン手 評価
及び電子署 認証 ン 基 ュ 要件 策定
(d) 情報 ュ 責任者 機器等 調遉 場合 IT製品 調遉
ュ 要件 参照 利用環境 威 析
当 機器等 在 情報 ュ 威 対抗 ュ 要
件 策定
(e) 情報 ュ 責任者 基 情報 利用 情報
構築 場合 基 情報 全体 情報 ュ 水準
い う 基 情報 情報 ュ 対策
運用管理規程等 基 い ュ 要件 適 策定
(3) 情報 構築 外部委 場合 対策
(a) 情報 ュ 責任者 情報 構築 外部委 場合
含 委 先 実施 調遉 様書 載 適
実施
( ) 情報 ュ 要件 適 実装
( ) 情報 ュ 観 基 試験 実施
( ) 情報 開発環境及び開発工程 情報 ュ 対策
(4) 情報 運用 保 外部委 場合 対策
(a) 情報 ュ 責任者 情報 運用 保 外部委 場
合 情報 実装 ュ 機能 適 運用 要件
い 調遉 様書 載 適 実施
5.2.2 情報シス の調達 構築
目的 趣旨
情報 調遉 構築 策定 ュ 要件 基 情報 ュ
対策 適 実施 選定基準 適合 機器等 調遉 情報 開 発工程 情報 ュ 対策 実施 求
機器等 納入時又 情報 入 時 整備 検査手 従い 当
情報 運用 扱う情報 保護 ュ 機能及び
管理機能 適 情報 組 込 い 検査 必要
33 遵守事項
(1) 機器等 選定時 対策
(a) 情報 ュ 責任者 機器等 選定時 い 選定基準 対
機器等 適合性 確認 結果 機器等 選定 断 一要素 活 用
(2) 情報 構築時 対策
(a) 情報 ュ 責任者 情報 構築 い 情報 ュ
観 必要 措置 講
(b) 情報 ュ 責任者 構築 情報 運用保 段階 移
行 当 移行手 及び移行環境 情報 ュ 観 必要
措置 講
(3) 納品検査時 対策
(a) 情報 ュ 責任者 機 器等 納入時又 情報 入
時 確認 検査 い 様書等定 検査手 従い 情報 ュ 対 策 係 要件 満 い 確認
5.2.3 情報シス の運用 保守
目的 趣旨
情報 運用段階 移 当 企画又 調遉 構築時 決定 ュ 要件 適 運用 う 人的 運用体制 整備 機器等 設 定 い 定期的 確認 運用 保 係 作業 録 管理等 実施 必要 あ
情報 情報 ュ ン ン 一般的 運用時 発生
大半 あ 適宜情報 情報 ュ 対策 実効性 確認
情報 運用状況 視 重要 あ
情報 保 作業 い 運用作業 様 情報 ュ 対策 適 実施 必要 あ 保 作業 個 委 場合等 い 府省庁対策基準 基 情報 ュ 対策 い 適 措置 講 求
遵守事項
(1) 情報 運用 保 時 対策
(a) 情報 ュ 責任者 情報 運用 保 い 情報
実装 ュ 機能 適 運用
(b) 情報 ュ 責任者 基 情報 利用 構築
情報 運用 場合 基 情報 整備 運用管理
府省庁 責任 界 応 運用管理体制 基 情報 運用
34
管理規程等 従い 基 全体 情報 ュ 水準 い う
適 情報 運用
(c) 情報 ュ 責任者 行 及び 意 い情報
等 象 発生 追跡 う 運用 保 係 作業 い 録 管理
5.2.4 情報シス の更改 廃棄
目的 趣旨
情報 更改 廃棄 い 情報 録 い 機密性 高い情報 廃棄又 再利用 過程 い 外部 漏えい 回避 必要 あ
情報 機密性 高い情報 録 い 場合 格付 扱制限 完全 把 握 い い場合等 い 録 い 情報 完全 抹消等 措置 講
必要
遵守事項
(1) 情報 更改 廃棄時 対策
(a) 情報 ュ 責任者 情報 更改又 廃棄 行う場合
当 情報 保 い 情報 い 当 情報 格付及び 扱制限
考慮 措置 適 講
( ) 情報 更改時 情報 移行作業 情報 ュ 対策
( ) 情報 廃棄時 要 情報 抹消
5.2.5 情報シス についての対策の見直し
目的 趣旨
情報 ュ 巻 環境 常時変化 新 発生 威等 的確
対応 い場合 情報 ュ 水準 維持 情報
情報 ュ 対策 定期的 見直 外部環境 急激 変化等 発生 場 合 適時見直 行う 必要
遵守事項
(1) 情報 い 対策 見直
(a) 情報 ュ 責任者 情報 情報 ュ 対策
い 新 威 出現 運用 視等 状況 見直 適時検討 必要 措置 講
35
5.3 情報シス の運用 計画
5.3.1 情報シス の運用 計画の整備 整合的運用の確保
目的 趣旨
業 停 国民 全 利益 重大 威 能性 あ 業 非常時 必要 あ 府省庁 い 業 計画 策定 運用 い
一方 非常時 情報 運用 場合 非常時 情報 ュ
係 対策 検討 定 重要
業 計画 情報 運用 計画 定 要求 情報 ュ 係規程 定 要求 矛盾 い う 間 整合性 確保 必要 あ
遵守事項
(1) 情報 運用 計画 整備 整合的運用 確保
(a) 統括情報 ュ 責任者 府省庁 い 非常時優先業 支え 情報
運用 計画 整備 当 非常時 情報 ュ 係
対策 検討
(b) 統括情報 ュ 責任者 情報 運用 計画 教育訓練 維持
改善 行う 等 非常時 情報 ュ 係 対策 運用 能 あ 確認
36