• 検索結果がありません。

2.3.1 情報セキュ テ 対策の自己 検

趣旨 必要性

情報コゥポモゾ゛対策 れ る 行 従 者 各自 役割を確実 行う 実効性 担保 れる ある ら 行 従 者自ら 情報 コゥポモゾ゛ 規程 準 運用を行 いる 否 い 検 る 重要 ある 自己 検 結果 基 れ れ 当 者又 管理者 任 い 必要 る改善策を実施 る必要 ある

れら を 案 曓 自己 検 る対策基準を る

遵守事項

(1) 自己 検 る 計画 策

基曓遵

(a) 統 情報コゥポモゾ゛ 任者 自己 検計画を策 暷高情報コゥポモ

ゾ゛ 任者 認を得る

解 自己 検を実施 る 当 り 実施 実施時期 確認及 評価 方法 実施 目 選択等 る 自己 検計画を策 る を 求 る ある

実施 い 自己 検 実施 る 望 い

例え 情報クケゾヘ部門 対 毎暻実施 れ 外 部 門 対 半 一 実施 る等 様々 選択肢 考えられ る

実施時期 い 例え 当初 毎暻 目 自己 検 行 従 者 意識 高 半 一 全 目を実施 るよう 変更 る等 様々 選択肢 考えられる

確認及 評価 方法 い 例え 単純 実施 を確認 る 遵 率を確認 る等 数値評価 より客観性を持 評価 る 望 様々 選択肢 考えられる

実施 目 選択 い 例え 当初 行 従 者 容易 遵 る 目 を自己 検 行 従 者 意識 高 遵 率 い 想 れる 目を実施 るよう 変更 る等 様々 選択肢 考えられる

行 従 者自ら 行う自己 検を原則 る クケゾヘ的 組 を用い ドセスやドシヴンネ゙゜ャ 更新状況を把握 り 実 文書を確認 る より 整備状況を把握 る等 自己 検

等 信 性を暼 る方法 る場合 暶方法 れを 用 良い

25

(2) 自己 検 実施 る準備

基曓遵

(a) 情報コゥポモゾ゛ 任者 行 従 者 自己 検票及 自己 検 実

施手 を整備 る

解 各行 従 者 自己 検を実施 る 当 各自 業 る情報 扱方法や 実施 情報コゥポモゾ゛対策 役割 異 る れ れ 職 容 自己 検票 必要 る

情報コゥポモゾ゛ 任者 行 従 者 自己 検票を 作 る 自己 検 確性を高 る 細 実施手 を 準備 る を求 る ある

(3) 自己 検 実施

基曓遵

(a) 情報コゥポモゾ゛ 任者 統 情報コゥポモゾ゛ 任者 る 自己 検

計画 基 行 従 者 対 自己 検 実施を指示 る

解 自己 検計画 基 情報コゥポモゾ゛ 任者自ら 含 行 従 者 対 自己 検 実施 指示 る を求 る ある

(b) 行 従 者 情報コゥポモゾ゛ 任者 ら指示 れ 自己 検票及 自己

検 実施手 を用い 自己 検を実施 る

解 情報コゥポモゾ゛ わる行 従 者 対 自己 検を実施 自ら 実施 対策 い 実施 暼無を確認 る を求 る ある

(4) 自己 検結果 評価

基曓遵

(a) 情報コゥポモゾ゛ 任者 行 従 者 よる自己 検 行われ いる

を確認 結果を評価 る

解 行 従 者 よる自己 検 結果 い 情報コゥポモゾ゛ 任 者 評価 る を求 る ある

評価 い 自己 検 行われ いる 省庁対策 基準 準 いる 改善 改善 れ いる 対策 暼効 ある 等を評価 る 自己 検 評価 い 数値 評価を中心 客観性を持 評価 る 望 い 例え 自己 検実施率や 省庁対策基準遵 率 要改善対策数/対策実施数

準 率 把握 挙 られる

(b) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者 よる自己 検 行わ

れ いる を確認 結果を評価 る

解 情報コゥポモゾ゛ 任者 よる自己 検 適 行われ いる を 統 情報コゥポモゾ゛ 任者 評価 る を求 る ある

26

(c) 統 情報コゥポモゾ゛ 任者 自己 検 結果を暷高情報コゥポモゾ゛ 任者

報告 る

解 統 情報コゥポモゾ゛ 任者 自己 検 結果を報告書 文書化 暷高情報コゥポモゾ゛ 任者 提出 る を求 る ある

(5) 自己 検 基 改善

基曓遵

(a) 行 従 者 自ら 実施 自己 検 結果 基 自己 限 範

改善 る 断 改善 情報コゥポモゾ゛ 任者 を報告 る

解 自己 限 範 改善 能 ある問題 い 情報コゥポモゾ

゛ わる 行 従 者自ら 自己改善 る を求 る ある

(b) 暷高情報コゥポモゾ゛ 任者 自己 検 結果を全体 評価 必要 あ

る 断 場合 情報コゥポモゾ゛ 任者 改善を指示 る

解 自己 検 結果 より明ら 問題 い 暷高情報コゥポ モゾ゛ 任者 情報コゥポモゾ゛ 任者 対 改善 る を求 る

ある

2.3.2 情報セキュ テ 対策の監査

趣旨 必要性

情報コゥポモゾ゛ 確保 曓統一基準 準 省庁対策基準 適 策 れ 情報コゥポモゾ゛ 規程 適 運用 れる より 実効性を確保 る 重要 あ 準 性 妥当性 暼無 確認 れ れ ら い

情報コゥポモゾ゛対策を実施 る者 よる自己 検 立性を暼 る者 よる情報コゥポモゾ゛対策 査を実施 る 必要 ある

れら を 案 曓 情報コゥポモゾ゛対策 査 る対策基準を る

遵守事項

(1) 査計画 策

基曓遵

(a) 情報コゥポモゾ゛ 査 任者 査計画を策 暷高情報コゥポモゾ゛

任者 認を得る

解 査 基曓的 方針 査計画を策 認を る

を求 る ある 査計画 含 れる

ン重 る 査対象及 査目標 情報漏えい防 ゚ェコケ防

27 ン 査実施期間

ン 査業 管理体

ン外部委 よる 査 必要性及 範 ン 査予算

前実施 査結果 明ら 課題及 問題 改善状 況 い 査を実施 る場合 査計画 盛り込

(2) 査 実施 る指示

基曓遵

(a) 暷高情報コゥポモゾ゛ 任者 査計画 従 情報コゥポモゾ゛ 査

任者 対 査 実施を指示 る

解 査計画 従 査を実施 る を求 る ある

(b) 暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 状況 変化 応 必要

断 場合 情報コゥポモゾ゛ 査 任者 対 査計画 計画 れ 外 査 実施を指示 る

解 査計画 い 実施 る 査 外 府省庁 府省庁外 る 案 生 状況又 情報コゥポモゾ゛対策 実施 い 重大 変化 生 場合 必要 応 臨機応変 査を実施 る を求

る ある

府省庁 い 甚大 情報コゥポモゾ゛ 侵害 生 場合 あ 侵害 規模や影響 を ん より客観性ン 立性 求 られる 官 情報コゥポモゾ゛コンシヴ 力 外 部組織 よる 査を検討 る 求 られる

(3) 個 査業 る 査実施計画 策 基曓遵

(a) 情報コゥポモゾ゛ 査 任者 査計画及 情報コゥポモゾ゛ 状況 変

化 応 査 実施指示 基 個 査業 査実施計画を策 る

解 査 基曓的 方針 基 い 実施 査 い 細 計画

を策 る を求 る ある 査実施計画 含

れる (経済産業省 情報コゥポモゾ゛ 査基準片 実施基準イ゜チメ゜ン Ver1.0等を参考)

ン 査 実施時期 ン 査 実施場

ン 査実施者及 担当職 割当

ン準 性 査 情報コゥポモゾ゛ 規程 準 手 実施 れ いる を確認 る 査 必要 応 妥当性 査 実施 いる手 暼効 コゥポモゾ゛対策 ある を確認 る 査 を行う

28 い 方針

ン実施 査 概要 査要 実施 査 種類及 試査 範 を含

ン 査 捗管理手段又 体

被 査部門 対 査 容や範 を明確化 る 査実 施期間 査実施者 氏 査対象等を含 情報コゥ ポモゾ゛ 査 任者より 前通知 る 望 い

曓統一基準 い 査業 対 査を 途実施 る を必須 い 査実施者 査過程 被 査者を 査 る 外 を実施 場合 実施 対 る 途 査 必要 る 能性 ある 情報コゥポモゾ゛ 査 任 者 査実施計画を策 る 査実施者 実施 る 情報 コゥポモゾ゛対策 向 り得る や 何ら 作業を効率的 行

える れを 易 査実施計画 中 り込 い

(4) 査 実施 る準備

基曓遵

(a) 情報コゥポモゾ゛ 査 任者 査業 実施 い 必要 る者を 被

査部門 ら 立 者 ら選 情報コゥポモゾ゛ 査実施者 指 る 解 情報コゥポモゾ゛ 査 任者 各府省庁 い 査業 を実施 る

当 り 必要 る者を情報コゥポモゾ゛ 査実施者 指 る を求 る ある

情報コゥポモゾ゛ 査実施者 査人 立性及 客観性を 暼 る 求 られる

例え 情報クケゾヘを 査 る場合 当 情報クケゾヘ 構築を

者 査を い る 情報資産 運用状況

る 査を行う場合 当 情報資産を運用 いる者 査

を い る

(b) 情報コゥポモゾ゛ 査 任者 必要 応 府省庁外 者 査 一部を請

わ る

解 情報コゥポモゾ゛ 査 任者 査を実施 る 当 り 必要 応 査対象クケゾヘ 細情報を暼 る組織 府省庁 情報クケゾヘ 部門 え 外部 門家 支援を る を求 る ある

組織 情報コゥポモゾ゛ 査実施者 足 いる場合又 査遂行 能力 足 いる場合 査業 部 査 を外部 業者 請

わ る を検討 ある 委 選 当

被 査部門 立性を暼 査遂行能力 ある者を選択 る よう配慮 外部委 る対策基準 従う 情報コゥポ モゾ゛ 査企業 帳 録 れ いる企業や情報コゥポモゾ゛ 査人資

格者 業 を考慮 る 望 い

29

(5) 査 実施

基曓遵

(a) 情報コゥポモゾ゛ 査実施者 情報コゥポモゾ゛ 査 任者 指示 基

査実施計画 従 査を実施 る

解 情報コゥポモゾ゛ 査実施者 適 査を実施 る を求 る ある

(b) 情報コゥポモゾ゛ 査実施者 省庁対策基準 統一基準 準 いる を

確認 る

解 省庁対策基準 統一基準 準 設計 れ いる 確認を求 る ある

(c) 情報コゥポモゾ゛ 査実施者 実施手 省庁対策基準 準 いる を

確認 る

解 各府省庁 実施手 省庁対策基準 準 設計 れ いる 確 認を求 る ある

(d) 情報コゥポモゾ゛ 査実施者 自己 検 適 性 確認を行う等 より 被

査部門 る実 運用 情報コゥポモゾ゛ 規程 準 いる を確 認 る

解 被 査部門 る実 運用 各府省庁 情報コゥポモゾ゛ 規 程 準 実施 れ いる 運用 準 性 確認を求 る

ある

運用 準 性 確認 自己 検 適 性 確認 よる 実効性 高い方法 ある 考えられる 査対象 よ クケゾヘ 査

弱性検査 方法 よ 確認 る る

査 当 自己 検結果 基 担当者 質問 録文書 査閲 機器 設 状況 検等 方法 より 運用 準 性を確認 る

必要 応 被 査部門 い 実施 れ いる情報コゥポモ ゾ゛対策 暼効 機能 いる 否 妥当性を確認 る 求 ら れる

(e) 情報コゥポモゾ゛ 査実施者 査調書を作 る

解 査意見表明 根 る 査調書を適 作 る を求 る ある

査調書 情報コゥポモゾ゛ 査実施者 行 査業 実施

録 あ 査意見表明 根 る 査証 連資料

等を綴り込ん をいう 情報コゥポモゾ゛ 査実施者自ら 直接 入手 資料や試 結果 被 査部門側 ら提出 れ 資 料等を含 場合 よ 組織 外部 第 者 ら入手 資料等を 含 ある

(f) 情報コゥポモゾ゛ 査 任者 査調書 基 査報告書を作 暷高情 報コゥポモゾ゛ 任者 提出 る

解 査結果を報告書 文書化 暷高情報コゥポモゾ゛ 任者

関連したドキュメント