見直し

第 2 部情報セキュリティ対策の基本的枠組み

目的・趣旨

情報セキュリティを取り巻く環境は常時変化しており、こうした変化に的確に対応しないと、情報セキュリティ水準を維持できなくなる。このため、府省庁の情報セキュリティ対策の根幹をなす情報セキュリティ関係規程は、実際の運用において生じた課題、自己点検・

監査等の結果や情報セキュリティに係る重大な変化等を踏まえ、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び顕在時の損失等を分析し、リスクを評価し、

適時見直しを行う必要がある。

また、情報セキュリティに係る取組をより一層推進するためには、上記のリスク評価の結果を対策推進計画に反映することも重要である。

遵守事項

(1) 情報セキュリティ関係規程の見直し

(a) 最高情報セキュリティ責任者は、情報セキュリティの運用及び自己点検・監査等の結果等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、府省庁対策基準について必要な見直しを行うこと。

(b) 統括情報セキュリティ責任者は、情報セキュリティの運用及び自己点検・監査等の結果等を踏まえて情報セキュリティ対策に関する実施手順を見直し、又は整備した者に対して規定の見直しを指示し、見直し結果について最高情報セキュリティ責任者に報告すること。

（解説）

遵守事項2.4.1(1)(a)「情報セキュリティの運用及び自己点検・監査等の結果等を総合的

に評価」について

府省庁における情報セキュリティインシデントの発生状況、例外措置の申請状況、自己点検や情報セキュリティ監査の結果、行政事務従事者からの相談等を踏まえ、府省庁対策基準に課題及び問題点が認められるか否かなどの観点から総合的な評価を行い、

府省庁対策基準について所要の見直しを行うことについて、最高情報セキュリティ責任者に求めている。

また、本部監査において助言された事項に関し、府省庁対策基準を見直す必要があるか否かを確認し、必要とされる場合には府省庁対策基準の見直しを行う。

遵守事項2.4.1(1)(b)「整備した者に対して規定の見直しを指示」について

府省庁における情報セキュリティインシデントの発生状況、自己点検や情報セキュ

リティ監査の結果、本部監査の結果、行政事務従事者からの相談、最高情報セキュリティ責任者からの指示等を踏まえ、情報セキュリティ対策に関する実施手順を見直すことの必要性を検討し、情報システムセキュリティ責任者等の実施手順を整備した者に、

その見直しを指示することを統括情報セキュリティ責任者に求めている。

なお、策定済みの実施手順を見直すだけではなく、例えば、府省庁内における共通のルールが存在しないため、各所属等において個別にルールを定めて運用しているなどの場合について、府省庁内における共通のルールを整備するか否かを検討することも考えられる。

68 遵守事項

(2) 対策推進計画の見直し

(a) 最高情報セキュリティ責任者は、情報セキュリティ対策の運用及び点検・監査等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、

情報セキュリティ委員会の審議を経て、対策推進計画について定期的な見直しを行うこと。

（解説）

遵守事項 2.4.1(2)(a)「情報セキュリティ対策の運用及び点検・監査等を総合的に評価」

について

府省庁における情報セキュリティインシデントの発生状況、自己点検、情報セキュリティ監査の結果、行政事務従事者からの相談等を踏まえ、対策推進計画に加えるべき事項の有無、策定済みの計画の変更が必要であるか等の観点から、評価を行う。

また、本部監査において助言された事項において、対策推進計画に盛り込むべき事項がある場合は、当該事項の実施優先順位を検討した上で、適切に計画に盛り込むこととする。

遵守事項2.4.1(2)(a)「情報セキュリティに係る重大な変化等」について

サイバー攻撃の量的な拡大や攻撃手法の高度化等による質的な変化等、計画策定時に前提としていた条件から大きく異なり、情報セキュリティに係るリスクが高まった場合や、年度途中における種々の要因により、当初の対策推進計画では課題解決が図られていない場合等を想定している。