政府機関の情報セキュリティ対策のための統一基準(平成28年度版)

(1)

府機情報ュ対策統一基準

成 28 度版

成 28 ８ 31 日

ュ戦略部

(2)

目次_-1

第 ₁ 部総則

1.1 ^{統一基準の目的} ^適用範囲

(1) ^統一基準 ^目的

情報ュ基府省庁扱う情報重要度応機密性完全

性用性確保あ府省庁自責任い情報

ュ対策講い原則あ府省庁共通 _IT環境利用府

省庁間情報流通現状踏え府機全体統一的枠組構築

府省庁情報ュ水準斉一的引必要あ

統一基準府機情報ュ対策統一規範ュ

戦略部決定基府機統一的枠組中府省

庁情報ュ確保採対策及び水準更高

対策基準定あ

(2) ^統一基準 ^適用範

(a) ^統一基準 ^い ^適用範 ^者 ^全 ^行 ^従 ^者

(b) ^統一基準 ^い ^適用範 ^情報 ^情報

( ) ^行 ^従 ^者 ^職 ^使用 ^目的 ^府省庁 ^調遉 ^又 ^開

発情報若外部電磁的録媒体録情報当情報

出力書面載情報及び書面情報

入力情報含

( ) ^情報 ^又 ^{外部電磁的} ^録媒体 ^録 ^情報 ^当 ^情報

出力書面載情報及び書面情報

入力情報含あ行従者職扱う情報

( ) ( )^及び( ) ^府省庁 ^調遉 ^又 ^開発 ^情報 ^設計又

運用管理情報

(c) ^統一基準 ^い ^適用範 ^情報 ^統一基準 ^適用範

情報扱う全情報

(3) ^統一基準 ^改定

情報ュ水準適維持い状況変化的確え

応情報ュ対策見直重要あ

情報術進歩応統一基準定期的検必要応規定

容追加等改定行う

(4) ^法 ^等 ^遵

情報及び情報扱い統一基準法及び基準等

連法等いう遵い連法等情報

(8)

2

ュ対策わ当然遵あ統一基準あえ

連法等遵い明いい情報ュ巡状況応

策定府決定等い様遵

(5) ^対策 ^目 ^載

統一基準府省庁行う対策い目的部節及び階

対策目類各対目的趣及び遵示い遵府

省庁対策基準い必実施対策あ府省庁官

ュン途整備府省庁対策基準策定ン及び

府機統一基準適用個ュ群い規定統一基準遵対応

個体的対策実施要件対策実施例解等参照府省庁対策基準策定

必要あ

(9)

3

1.2 ^{情報の格付の区分} ^取扱制限

(1) ^情報 ^格付 ^区

情報い機密性完全性及び用性観区統一基準遵

用い格付区定義示

府省庁い格付定義変更又追加場合府省庁対策基

準格付区遵係統一基準係等う

準い府省庁情報提供場合自身格付区

統一基準格付区対応い適伝遉必要あ

機密性い格付定義

格付区類基準

機密性情報行扱う情報う行文書管理

ン成₂₃ 日総理大臣決定

文書管理ンいう定秘密文書

相当機密性要情報含情報

機密性情報行扱う情報う行機保情報

公開法成₁₁ 法第₄₂ 情報

公開法いう第条各開示情報当

断蓋然性高い情報含情報あ

機密性情報外情報

機密性情報情報公開法第条各開示情報当

断蓋然性高い情報含い情報

機密性情報及び機密性情報要機密情報いう

完全性い格付定義

格付区類基準

完全性情報行扱う情報書面除う改

誤びう又破損国民権利侵害又行

適遂行支軽微除及

あ情報

完全性情報完全性情報外情報書面除

完全性情報要保全情報いう

(10)

4

用性い格付定義

格付区類基準

用性情報行扱う情報書面除う滅

失紛失又当情報利用能あ国

民権利侵害又行定的遂行支

軽微除及あ情報

用性情報用性情報外情報書面除

用性情報要定情報いう

情報要機密情報要保全情報及び要定情報一当場

合要保護情報いう

(2) ^情報 ^扱制限

扱制限情報扱い制限あ複製禁持出禁配布禁

暗化必須廃棄情報適扱い行従者確実行わ

手段いう

行従者格付応情報扱い適行う必要あ

格付応体的扱い方示方法扱制限用い府省庁扱う

情報い機密性完全性及び用性観扱制限基的

定義定必要あ

(11)

5

1.3 ^用語定義

統一基準い次各掲用語定義当各定

あ

● ョンンンョンン

ン等総称いう

● 委先外部委府省庁情報処理業一部又全部実施者

いう

● 外部委府省庁情報処理業一部又全部い契約府

省庁外者実施いう委任準委任請い契約形態問わ

全含

● 機器等情報構成要素装置端通信回線装置複合

機特定用途機器等ソ等外部電磁的録媒体等総称いう

● 基情報機共通的使用情報一

機ョン管理運用い情報除

いう

● 行従者府省庁い行従い国家公員

府省庁指揮命服い者あ府省庁管理対象あ情報及び情報

扱う者いう行従者個々勤条件例え

派遣労働者等含い

● 録媒体情報録又載体物いう録媒体

文形等人知覚認識情報載紙体

物書面いう電子的方式磁気的方式人知覚認識

い方式作録あ情報情報処理用

供電磁的録いう係録媒体電磁的録媒体

いうあ電磁的録媒体装置端通信回線装置等

蔵蔵電磁的録媒体 _USB 外付 _DVD-

R^等 ^{外部電磁的} ^録媒体 ^あ

● 業者定義ン用い

張性軟性持共用能物理的又仮想的ソネワ経由

通提供利用者自由ソ設定管理能

あ情報ュ十条件設定余地あい

う

(12)

6

● 業者提供業者又

用い情報開発運用業者いう

● 装置情報構成要素あ機器う通信回線等経由

接端等対自保持い提供載

ソ及び直接接一体扱わ等周

辺機器含いい特断い限府省庁調遉又開発いう

● _CYMAT 攻撃等府機等情報害発生

場合又発生あ場合あ府一体対応必要

情報ュ係象対機動的支援行う官

ュン設置体制いう Cyber Incident Mobile Assistance

Team ^情報 ^ュ ^緊急支援 ^略

● _CSIRT 府省庁い発生情報ュンン対処

当府省庁設置体制いう Computer Security Incident Response Team ^略

● 実施手府省庁対策基準定対策容個情報業

い実施あ定必要あ体的手いう

● 情報 _1.1(2) 統一基準適用範 _(b) 定いう

● 情報及びソ成あ

情報処理又通信用供いい特断い限府省庁調遉又開

発管理外部委い含いう

● 情報ュンン JIS Q 27000:2014 ^情報 ^ュ

ンンいう

● 情報ュ係規程府省庁対策基準及び実施手総称

いう

● 情報抹消電磁的録媒体録全情報利用能復元

困状態いう情報抹消情報自体消去情報

録い録媒体物理的破壊等含削除消復元

復元状態復元困状態いえ情報抹消当い

● 端情報構成要素あ機器う行従者情報処

理行う直接操作載ソ及び直接接一体

(13)

7

扱わ等周辺機器含いい特断い限府

省庁調遉又開発いう端端含

● 通信回線複数情報又機器等府省庁調遉等行う外

含間定方式従情報信組いい特

断い限府省庁情報い利用通信回線総称

いう通信回線府省庁直接管理いい含種類線又

無線物理回線又仮想回線等問わい

● 通信回線装置通信回線間又通信回線情報接設置

回線信情報制御等行う装置いう通信回線装置

いわ等等含

● 特定用途機器会議 _IP電ネワ

等特定用途使用情報特構成要素あ通信回線

接い又蔵電磁的録媒体備えいいう

● 府省庁法規定基置機若轄

置機宮庁府設置法成₁₁ 法第₈₉ 第四十九条第一若

第規定機国家行組織法昭和₂₃ 法第₁₂₀ 第条第

規定機又置機いう府省庁表場合単一

機指

● 府省庁外通信回線通信回線う府省庁通信回線外いう

● 府省庁対策基準府省庁情報及び情報情報ュ

確保情報ュ対策基準いう

● 府省庁通信回線一府省庁管理装置又端間通信

用供通信回線あ当府省庁管理い装置又端論理

的接いいいう府省庁通信回線専用線 _VPN 等物理的

回線府省庁管理いい含

● ンュワ寄生

単体自己増殖使用者意

様々情報等情報利用者意い結果

当情報総称いう

● 抹消 → 情報抹消参照

(14)

8

● 明示等情報扱う全者当情報格付い共通認識

う措置いう明示等情報格付載明示

当情報格付係認識共通措置含措置

例特定情報録情報い格付情報

規程等明当情報利用全者周知等

挙

● 端端う業必要応移動使用

目的いい端形態問わい

● 約款外部民間業者等府省庁外組織約款基

ンネ提供情報処理あ当提供

装置い利用者情報作成保信等行ういう利用者

必要情報ュ十条件設定余地あ除

● 要管理対策区域府省庁管理庁舎等外部組織借用い施

設等含府省庁管理あ区域あ扱う情報保護施

設及び環境係対策必要区域いう

(15)

9

第 ₂ 部情報セキュ対策の基的枠組み

2.1 ^導入 ^計画

2.1.1 ^組織 ^{体制の整備}

目的趣旨

情報ュ対策係全行従者職制及び職応

えい権限責理解う責全う実現

権限責明確必要組織体制整備必要あ特

最高情報ュ責任者情報ュ対策着実進自組織

統括組織全体計画的対策実施う推進い

最高情報ュ責任者統一基準定自担統一基準

定責任者等担わ

遵守事項

(1) ^最高情報 ^ュ ^責任者 ^設置

(a) ^府省庁 ^府省庁 ^情報 ^ュ ^統括 ^最高情報

ュ責任者人置

(2) ^情報 ^ュ ^委員会 ^設置

(a) ^最高情報 ^ュ ^責任者 ^{府省庁対策基準等} ^審議 ^行う機能 ^持 ^組織

府省庁情報ュ推進部局及び行実施

部局表者構成員情報ュ委員会置

(3) ^情報 ^ュ ^査責任者 ^設置

(a) ^最高情報 ^ュ ^責任者 ^指示 ^基 ^実施 ^査

統括者情報ュ査責任者人置

(4) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^責任者等 ^設置

(a) ^最高情報 ^ュ ^責任者 ^業 ^特性等 ^質 ^情報 ^ュ ^対策

運用能組織情報ュ対策統括

者情報ュ責任者人置う情報ュ

責任者統括最高情報ュ責任者補佐者統括情報

ュ責任者人選任

(b) ^情報 ^ュ ^責任者 ^遵 3.2.1(2)(a) ^定 ^区域 ^当 ^区域

情報ュ対策統括区域情報ュ責任者 ₁ 人

置

(c) ^情報 ^ュ ^責任者 ^課室 ^情報 ^ュ ^対策 ^統

(16)

10

括課室情報ュ責任者₁人置

(d) ^情報 ^ュ ^責任者 ^管 ^情報 ^対 ^情報 ^ュ ^対

策責任者情報ュ責任者当情報

企画着手選任

(5) ^最高情報 ^ュ ^設置

(a) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^い ^専門的 ^{知識及び経}

験者最高情報ュ置自言含

最高情報ュ業容定

(6) ^情報 ^ュ ^ン ^ン ^備え ^体制 ^整備

(a) ^最高情報 ^ュ ^責任者 CSIRT ^整備 ^役割 ^明確化

(b) ^最高情報 ^ュ ^責任者 ^行 ^従 ^者 ^う CSIRT ^属 ^職員

専門的知識又適性認者選任う府

省庁情報ュンン対処責任者 _CSIRT

責任者置 _CSIRT 業統括及び外部連携等行う職員定

(c) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^ン ^ン ^発生 ^直

自報告行わ体制整備

(d) ^最高情報 ^ュ ^責任者 CYMAT ^属 ^職員 ^指

(7) ^兼 ^禁 ^役割

(a) ^行 ^従 ^者 ^情報 ^ュ ^対策 ^運用 ^い ^役割 ^兼

い

( ) ^認又 ^許 ^い ^認等 ^いう ^申請者 ^当 ^認

等行う者い認権限者等いう

( ) ^査 ^者 ^査 ^実施 ^者

(b) ^行 ^従 ^者 ^認等 ^申請 ^場合 ^い ^自 ^{認権限者等} ^あ

認権限者等認等否断適認

当認権限者等又適者認等申請認等得

2.1.2 ^{府省庁対策基準} ^{対策推進計画の策定}

目的趣旨

府省庁情報ュ水準適維持情報ュ総合的

減府省庁遵対策基準定情報ュ

係評価結果踏え計画的対策実施重要あ

(17)

11 遵守事項

(1) ^{府省庁対策基準} ^策定

(a) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^委員会 ^審議 ^経 ^統

一基準準府省庁対策基準定

(2) ^{対策推進計画} ^策定

(a) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^委員会 ^審議 ^経 ^情

報ュ対策総合的推進計画対策推進計画いう

定対策推進計画府省庁業扱う情報及び保

情報評価結果踏え全体方針並び掲

組方針重及び実施時期含

( ) ^情報 ^ュ ^教育

( ) ^情報 ^ュ ^対策 ^自己 ^検

( ) ^情報 ^ュ ^査

( ) ^情報 ^術的 ^対策 ^推進 ^組

( ) ^前各 ^掲 ^情報 ^ュ ^対策 ^重要 ^組

(18)

12

2.2 ^運用

2.2.1 ^{情報セキュ} ^{関係規程の運用}

目的趣旨

府省庁府省庁対策基準定対策実施体的実施手定

必要あ

実施手整備いい又容漏あ対策実施い

あ最高情報ュ責任者統括情報ュ責任者実施

手整備指示結果い定期的報告状況適確把握

重要あ

遵守事項

(1) ^情報 ^ュ ^対策 ^実施手 ^整備 ^運用

(a) ^統括情報 ^ュ ^責任者 ^府省庁 ^情報 ^ュ ^対策

実施手整備統一基準整備者定場合除実施手

統括整備状況い最高情報ュ責任者報告

(b) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^対策 ^用 ^開始 ^終了

及び人異動時等管理規定整備

(c) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^行 ^従 ^者

情報ュ係規程係課題及び問題報告場合統括情

報ュ責任者報告

(2) ^遊 ^対処

(a) ^行 ^従 ^者 ^情報 ^ュ ^係規程 ^重大 ^遊 ^知 ^場合 ^情

報ュ責任者報告

(b) ^情報 ^ュ ^責任者 ^情報 ^ュ ^係規程 ^重大 ^遊 ^報告

場合及び自重大遊知場合遊者及び必要者情報

ュ維持必要措置講統括情報ュ責任

者通最高情報ュ責任者報告

2.2.2 ^例外措置

目的趣旨

例外措置あ例外あ濫用あい情報ュ

係規程適用行適遂行著妨理由規定

対策容異替方法採用又規定対策実施い

認得い場合あう場合対処例外措置手定

(19)

13 必要あ

遵守事項

(1) ^{例外措置手} ^整備

(a) ^最高情報 ^ュ ^責任者 ^例外措置 ^適用 ^申請 ^審査 ^者 ^許

権限者いう及び審査手定

(b) ^統括情報 ^ュ ^責任者 ^例外措置 ^適用審査 ^録 ^帳 ^整備 ^許 ^権

限者対定期的申請状況報告求

(2) ^例外措置 ^運用

(a) ^行 ^従 ^者 ^定 ^審査手 ^従い ^許 ^権限者 ^規定 ^例外措置 ^適

用申請行遂行緊急要当規定趣尊

重扱い場合あ情報ュ係規程規定

異替方法直採用又規定い方法実施い

避速届出

(b) ^許 ^権限者 ^行 ^従 ^者 ^例外措置 ^適用 ^申請 ^定 ^審査手

従審査許否決定

(c) ^許 ^権限者 ^例外措置 ^申請状況 ^帳 ^録 ^統括情報 ^ュ ^責任者

報告

(d) ^統括情報 ^ュ ^責任者 ^例外措置 ^申請状況 ^踏 ^え ^情報 ^ュ

係規程追加又見直検討行い最高情報ュ責任者報告

2.2.3 ^教育

目的趣旨

情報ュ係規程適整備い容行従

者認知い当規定遵い情報ュ水準

向望い全行従者情報ュ係規

程理解深う適教育実施必要あ

府機等近情報ュンン増加等鑑情報

ュ専門性人材育成求

遵守事項

(1) ^{教育体制等} ^整備

(a) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^対策 ^係 ^教育 ^い ^対策

推進計画基教育実施計画策定実施体制整備

(20)

14 (2) ^教育 ^実施

(a) ^課室情報 ^ュ ^責任者 ^行 ^従 ^者 ^対 ^情報 ^ュ ^係

規程係教育適講

(b) ^行 ^従 ^者 ^{教育実施計画} ^従 ^適 ^時期 ^教育 ^講

(c) ^課室情報 ^ュ ^責任者 CYMAT^及びCSIRT ^属 ^職員 ^教育 ^適講

(d) ^統括情報 ^ュ ^責任者 ^最高情報 ^ュ ^責任者 ^情報 ^ュ

対策教育実施状況い報告

2.2.4 ^{情報セキュ} ^ンシ ^ン ^への対処

目的趣旨

情報ュンン認知場合最高情報ュ責任者

急状況報告被害大防回復対策講必要あ

情報ュンン対処完了段階い原因い

調査情報ュンン経験生教訓

出再発防対処手体制等見直重要あ

遵守事項

(1) ^情報 ^ュ ^ン ^ン ^備え ^前準備

(a) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^ン ^ン ^能性 ^認知

報告窓口含府省庁係者報告手整備報告必要体例

含行従者周知

(b) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^ン ^ン ^能性 ^認知

府省庁外情報共含対処手整備

(c) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^ン ^ン ^備え ^行

遂行特重要認情報い緊急連絡先連絡手段連絡

容含緊急連絡網整備

(d) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^ン ^ン ^対処 ^訓練

必要性検討行遂行特重要認情報い

訓練容及び体制整備

(e) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^ン ^ン ^い ^府省庁

外者報告窓口整備窓口連絡手段府省庁外

者明示

(f) ^統括情報 ^ュ ^責任者 ^対処手 ^適 ^機能 ^訓練等

確認

(2) ^情報 ^ュ ^ン ^ン ^対処

(a) ^行 ^従 ^者 ^情報 ^ュ ^ン ^ン ^能性 ^認知 ^場合

(21)

15 府省庁報告窓口報告指示従う

(b) CSIRT ^報告 ^情報 ^ュ ^ン ^ン ^能性 ^い ^状況 ^確

認情報ュンンあ評価行う

(c) CSIRT^責任者 ^情報 ^ュ ^ン ^ン ^あ ^評価 ^場合 ^最高情

報ュ責任者速報告

(d) CSIRT ^情報 ^ュ ^ン ^ン ^係 ^情報 ^ュ ^責任者

対被害大防等応急措置実施及び復係指示又勧告

行う

(e) ^情報 ^ュ ^責任者 ^管 ^情報 ^い ^情報 ^ュ

ンン認知場合府省庁定対処手又 _CSIRT

指示若勧告従適対処

(f) ^情報 ^ュ ^責任者 ^認知 ^情報 ^ュ ^ン ^ン

基情報あ当基情報情報

ュ対策係運用管理規程等定い場合当運用管理

規程等従い適対処

(g) CSIRT ^府省庁 ^情報 ^い ^情報 ^ュ ^ン ^ン ^認

知場合当象い速官ュ

ン連絡認知情報ュンン攻

撃又ああ場合当情報ュンン

容応警察通報連絡等行う国民生命身体産

若国土重大被害生若生あ大規模攻

撃態又能性あ態い大規模攻撃態等初動

対処い成₂₂ ₁₉日危機管理決裁基報告連絡行う

(h) CSIRT ^情報 ^ュ ^ン ^ン ^対処状況 ^把握 ^必要 ^応

対処全般指示勧告又言行う

(i) CSIRT ^情報 ^ュ ^ン ^ン ^対処 ^容 ^録

(j) CSIRT ^情報 ^ュ ^ン ^ン ^府省庁 ^含 ^係機 ^情

報共行う

(k) CSIRT CYMAT ^支援 ^場合 ^支援 ^当 ^必要 ^情

報提供行う

(3) ^情報 ^ュ ^ン ^ン ^再発防 ^教訓 ^共

(a) ^情報 ^ュ ^責任者 CSIRT ^応急措置 ^{実施及び復} ^係 ^指示又

勧告場合当指示又勧告踏え情報ュンン

原因調査再発防策検討報告書最高情報ュ

責任者報告

(b) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^責任者 ^情報 ^ュ

ンンい報告場合容確認再発防策実

施必要措置指示

(22)

16

(c) CSIRT^責任者 ^情報 ^ュ ^ン ^ン ^対処 ^結果 ^得 ^教訓

統括情報ュ責任者係情報ュ責任者等共

(23)

17

2.3 ^点検

2.3.1 ^{情報セキュ} ^{対策の自己点検}

目的趣旨

情報ュ対策実効性担保情報ュ係規程遵

状況等検結果把握析必要あ

自己検行従者自役割応実施対策実実施

い否確認組織全体情報ュ水準確認目的

あ適実施重要あ

自己検結果踏え各当者役割責任範い必要

改善策実施必要あ

遵守事項

(1) ^自己 ^検計画 ^策定 ^手 ^準備

(a) ^統括情報 ^ュ ^責任者 ^{対策推進計画} ^基 ^度自己 ^検計画 ^策定

(b) ^情報 ^ュ ^責任者 ^行 ^従 ^者 ^自己 ^{検票及び自己} ^検 ^実

施手整備

(2) ^自己 ^検 ^実施

(a) ^情報 ^ュ ^責任者 ^度自己 ^検計画 ^基 ^行 ^従 ^者 ^自己

検実施指示

(b) ^行 ^従 ^者 ^情報 ^ュ ^責任者 ^指示 ^自己 ^{検票及び自己}

検手用い自己検実施

(3) ^自己 ^検結果 ^評価 ^改善

(a) ^統括情報 ^ュ ^{責任者及び情報} ^ュ ^責任者 ^行 ^従 ^者

自己検結果析評価統括情報ュ責任者評価結果

最高情報ュ責任者報告

(b) ^最高情報 ^ュ ^責任者 ^自己 ^検結果 ^全体 ^評価 ^自己 ^検 ^結

果明問題い統括情報ュ責任者及び情報

ュ責任者改善指示改善結果報告

2.3.2 ^{情報セキュ} ^監査

目的趣旨

情報ュ対策実効性担保情報ュ対策実施

者自己検独立性者情報ュ対策査実

(24)

18

施必要あ

査結果明課題踏え最高情報ュ責任者情報

ュ責任者指示必要対策講重要あ

遵守事項

(1) ^{査実施計画} ^策定

(a) ^情報 ^ュ ^査責任者 ^{対策推進計画} ^基 ^{査実施計画} ^定

(b) ^情報 ^ュ ^査責任者 ^情報 ^ュ ^状況 ^変化 ^応 ^対策推進

計画計画外査実施指示最高情報ュ責任者

場合追加査実施計画定

(2) ^査 ^実施

(a) ^情報 ^ュ ^査責任者 ^{査実施計画} ^基 ^含 ^査

実施査実施者指示結果査報告書最高情報ュ責任者

報告

( ) ^{府省庁対策基準} ^統一基準 ^満 ^適 ^定 ^い

( ) ^実施手 ^{府省庁対策基準} ^準 ^い

( ) ^自己 ^検 ^適 ^性 ^確認 ^行う ^被 ^査部門 ^実 ^運用

情報ュ係規程準い

(3) ^査結果 ^応 ^対処

(a) ^最高情報 ^ュ ^責任者 ^査報告書 ^容 ^踏 ^え ^指摘 ^対 ^改

善計画策定等情報ュ責任者指示

(b) ^情報 ^ュ ^責任者 ^{査報告書等} ^基 ^い ^最高情報 ^ュ ^責任

者改善指示い必要措置行改善計画策定

措置結果及び改善計画最高情報ュ責任者報告

(25)

19

2.4 ^見直し

2.4.1 ^{情報セキュ} ^{対策の見直し}

目的趣旨

情報ュ巻環境常時変化う変化的確対応

い情報ュ水準維持府省庁情報ュ対

策根幹情報ュ係規程実運用い生課題自己検

査等結果情報ュ係重大変化等踏え保情報及び利用

情報係威発生能性及び顕在時損失等析評価

適時見直行う必要あ

情報ュ係組一推進評価結

果対策推進計画映重要あ

遵守事項

(1) ^情報 ^ュ ^係規程 ^見直

(a) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^{運用及び自己} ^検 ^査等

結果等総合的評価情報ュ係重大変化等踏

え情報ュ委員会審議経府省庁対策基準い必要見直

行う

(b) ^統括情報 ^ュ ^責任者 ^情報 ^ュ ^{運用及び自己} ^検 ^査等

結果等踏え情報ュ対策実施手見直又整備

者対規定見直指示見直結果い最高情報ュ責任

者報告

(2) ^{対策推進計画} ^見直

(a) ^最高情報 ^ュ ^責任者 ^情報 ^ュ ^対策 ^運用及び ^検 ^査等

総合的評価情報ュ係重大変化等踏え情報

ュ委員会審議経対策推進計画い定期的見直行う

(26)

20

第 ₃ 部情報の取扱い

3.1 ^{情報の取扱い}

3.1.1 ^{情報の取扱い}

目的趣旨

行遂行当情報作成入手利用保提供運信消去

等い利用等いう行う必要ああ情報ュ

確保当情報利用等全行従者情報

各段階い当情報特性応適対策講必要あ行

従者情報作成又入手段階当情報扱いい認識合わ

措置格付及び扱制限明示等行う情報格付扱制限応

対策講必要あ

秘密文書管理文書管理ン規定優先的適用

当ン定無い情報ュ対策係い統一基準

規定基適情報扱わう留意

遵守事項

(1) ^情報 ^扱い ^係 ^規定 ^整備

(a) ^統括情報 ^ュ ^責任者 ^含 ^情報 ^扱い ^規定 ^整備

行従者周知

( ) ^情報 ^格付及び ^扱制限 ^い ^定義 ( ) ^情報 ^格付及び ^扱制限 ^明示等 ^い ^手

( ) ^情報 ^格付及び ^扱制限 ^見直 ^手

(2) ^情報 ^目的外 ^利用等 ^禁

(a) ^行 ^従 ^者 ^自 ^担当 ^い ^行 ^遂行 ^必要 ^範 ^限

情報利用等

(3) ^情報 ^格付及び ^扱制限 ^決定 ^明示等

(a) ^行 ^従 ^者 ^情報 ^{作成時及び府省庁外} ^者 ^作成 ^情報 ^入手

伴う管理開始時格付及び扱制限定義基格付及び扱制限決

定明示等

(b) ^行 ^従 ^者 ^情報 ^作成又 ^複製 ^参照 ^情報又 ^入手 ^情報

既格付及び扱制限決定い場合元情報機密性

係格付及び扱制限

(c) ^行 ^従 ^者 ^追加 ^削除 ^理由 ^情報 ^格付及び ^扱制

限見直必要あ考え場合情報格付及び扱制限決定者決定

(27)

21

引い者含又決定者い決定者等いう

確認結果基見直

(4) ^情報 ^利用 ^保

(a) ^行 ^従 ^者 ^利用 ^情報 ^明示等 ^格付及び ^扱制限 ^従い ^当 ^情

報適扱う

(b) ^行 ^従 ^者 ^機密性 ^情報 ^い ^{要管理対策区域外} ^情報処理 ^行う場

合情報ュ責任者及び課室情報ュ責任者許

得

(c) ^行 ^従 ^者 ^{要保護情報} ^い ^{要管理対策区域外} ^情報処理 ^行う場合

必要全管理措置講

(d) ^行 ^従 ^者 ^保 ^情報 ^制限 ^設定 ^情報 ^格付及び

扱制限従情報適管理

(e) ^行 ^従 ^者 USB ^等 ^{外部電磁的} ^録媒体 ^用い ^情報 ^扱う

定利用手従う

(5) ^情報 ^提供 ^公表

(a) ^行 ^従 ^者 ^情報 ^公表 ^場合 ^当 ^情報 ^機密性 ^情報 ^格付

あ確認

(b) ^行 ^従 ^者 ^閲覧制限 ^範 ^外 ^者 ^情報 ^提供 ^必要 ^生 ^場合

当格付及び扱制限決定者等相談決定従う提供先

い当情報付格付及び扱制限応適扱わう扱

い留意確実伝遉措置講

(c) ^行 ^従 ^者 ^電磁的 ^録 ^提供又 ^公表 ^場合 ^当 ^電磁的 ^録等

用意情報漏えい防措置講

(6) ^情報 ^運 ^信

(a) ^行 ^従 ^者 ^{要保護情報} ^録又 ^載 ^録媒体 ^{要管理対策区域}

外持出場合全確保留意運方法決定情報格付及び扱

制限応全確保適措置講府省庁要管

理対策区域あ統括情報ュ責任者あ定区域

持出場合当区域要管理対策区域

(b) ^行 ^従 ^者 ^{要保護情報} ^あ ^電磁的 ^録 ^電子 ^等 ^信 ^場合

全確保留意信手段決定情報格付及び扱制限応

全確保適措置講

(7) ^情報 ^消去

(a) ^行 ^従 ^者 ^電磁的 ^録媒体 ^保 ^情報 ^職 ^要 ^場合

速情報消去

(b) ^行 ^従 ^者 ^電磁的 ^録媒体 ^廃棄 ^場合 ^当 ^録媒体 ^情報

(28)

22

残留状態いう全情報復元いう抹消

(c) ^行 ^従 ^者 ^{要機密情報} ^あ ^書面 ^廃棄 ^場合 ^復元 ^困 ^状態

(8) ^情報

(a) ^行 ^従 ^者 ^情報 ^格付 ^応 ^適 ^方法 ^情報 ^実施

(b) ^行 ^従 ^者 ^得 ^情報 ^い ^格付及び ^扱制限 ^従

保場保方法保期間等定適管理

(c) ^行 ^従 ^者 ^保 ^期間 ^過 ^情報 ^い (7)

規定従い適方法消去抹消又廃棄

(29)

23

3.2 ^情報を取 ^{扱う区域の管理}

3.2.1 ^情報を取 ^{扱う区域の管理}

目的趣旨

装置端等特定多数者物理的接触設置環境あ場合

い悪意あ者物理的装置破壊装置端

持出情報漏えい等あ設置環境威

災害発生情報損傷等あ

執室会議室室等情報扱う区域対物理的対策

入管理対策講区域全性確保当区域扱う情報情報

ュ確保必要あ

遵守事項

(1) ^{要管理対策区域} ^対策 ^基準 ^決定

(a) ^統括情報 ^ュ ^責任者 ^{要管理対策区域} ^範 ^定

(b) ^統括情報 ^ュ ^責任者 ^{要管理対策区域} ^特性 ^応 ^観 ^含

対策基準定

( ) ^許 ^い ^い者 ^容易 ^立 ^入 ^い ^う ^施

錠能扉間等施設整備設備設置等物理的対策

( ) ^許 ^い ^い者 ^立入 ^制限 ^及び立入 ^許 ^者

立入時行防入管理対策

(2) ^区域 ^対策 ^決定

(a) ^情報 ^ュ ^責任者 ^統括情報 ^ュ ^責任者 ^定 ^対策 ^基準

踏え施設及び環境係対策行う単区域定

(b) ^区域情報 ^ュ ^責任者 ^管理 ^区域 ^い ^統括情報 ^ュ ^責

任者定対策基準周辺環境当区域行う行容扱う情

報等案当区域い実施対策決定

(3) ^{要管理対策区域} ^対策 ^実施

(a) ^区域情報 ^ュ ^責任者 ^管理 ^区域 ^対 ^定 ^対策 ^実施

行従者実施対策い行従者認識措置

講

(b) ^区域情報 ^ュ ^責任者 ^災害 ^要 ^定情報 ^扱う情報

保護物理的対策講

(c) ^行 ^従 ^者 ^利用 ^区域 ^い ^区域情報 ^ュ ^責任者 ^定

対策従利用行従者府省庁外者立入

当府省庁外者当区域定対策従利用

(30)

24

第 ₄ 部外部委託

4.1 ^外部委託

4.1.1 ^外部委託

目的趣旨

府省庁外者情報開発ョン開発等委

行従者当委先情報ュ対策直接管理

困場合委先い府省庁対策基準適合情報ュ対策確実

実施う委先要求調遉様書等定委契約条件必

要あ

外部委例う様々種類あ契約形態請契約委任

準委任約款意等様々あい場合い外部委契約時委

業範委先責任範等明確化契約者方情報ュ対策

細い合意形成重要あ

利用係外部委い特

あ理解 _4.1.4 利用い加え

遵必要あ

民間業者特定多数向約款基ンネ提供情報処

理等 _1.3 節い約款外部定義利用

行遂行場合外部委一形態あ要機密情報扱わ委

先高い情報管理要求必要無い場合限

え _4.1.2 約款外部利用適用

＜外部委例＞

 ^情報 ^{開発及び構築業}

 ^ョン ^ン ^ン ^開発業

 ^情報 ^運用業

 ^業 ^{運用支援業} ^統計 ^計 ^入力 ^{媒体変換等}

 ^{管理支援業}

 ^調査 ^研究業 ^調査 ^研究 ^検査等

 ^情報 ^ン ^{通信回線等} ^賃貸借

遵守事項

(1) ^外部委 ^係 ^規定 ^整備

(a) ^統括情報 ^ュ ^責任者 ^外部委 ^係 ^容 ^含 ^規定 ^整備

( ) ^委 ^先 ^認 ^{情報及び情報} ^範 ^断 ^基

準

(31)

25 ( ) ^委 ^先 ^選定基準

(2) ^外部委 ^係 ^契約

(a) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^外部委

実施選定基準及び選定手従委先選定

容含情報ュ対策実施委先選定条件

様容含

( ) ^委 ^先 ^提供 ^情報 ^委 ^先 ^{目的外利用} ^禁

( ) ^委 ^先 ^情報 ^ュ ^対策 ^実施 ^{容及び管理体制}

( ) ^委 ^業 ^実施 ^当 ^委 ^先企業又 ^従業員 ^再委 ^先 ^若

者意変更加えい管理体制

( ) ^委 ^先 ^資 ^係 ^役員等 ^情報 ^委 ^業 ^実施場 ^委 ^業従 ^者

属専門性情報ュ係資格研実績等実績及び国籍

情報提供

( ) ^情報 ^ュ ^ン ^ン ^対処方法

( ) ^情報 ^ュ ^対策 ^契約 ^行状況 ^確認方法

( ) ^情報 ^ュ ^対策 ^行 ^十 ^場合 ^対処方法

(b) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^委

業い扱う情報格付等案必要応容様含

( ) ^情報 ^ュ ^査 ^入

( ) ^保証

(c) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^委 ^先

役容一部再委場合再委生威対

情報ュ十確保う _(a)(b) 措置実施委先担

保再委先情報ュ対策実施状況確認

必要情報府省庁提供府省庁認う様容含

(3) ^外部委 ^対策 ^実施

(a) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^契約 ^基

委先情報ュ対策行状況確認

(b) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^委

業い情報ュンン発生若情報目的外利用等

認知場合又報告行従者場合委業

一時中断必要措置講契約基対処委先講

(c) ^情報 ^ュ ^責任者又 ^課室情報 ^ュ ^責任者 ^委

業終了時委先い扱わ情報確実返却又抹消

確認

(32)

26

(4) ^外部委 ^情報 ^扱い

(a) ^行 ^従 ^者 ^委 ^先 ^情報 ^提供等 ^い ^遵

( ) ^委 ^先 ^{要保護情報} ^提供 ^場合 ^提供 ^情報 ^必要最 ^限 ^あ

定全渡方法提供

( ) ^提供 ^{要保護情報} ^委 ^先 ^い ^要 ^場合 ^確実 ^返

却又抹消

( ) ^委 ^業 ^い ^情報 ^ュ ^ン ^ン ^情報 ^{目的外利用等}

認知場合速情報ュ責任者又課室情報

ュ責任者報告

4.1.2 ^約款によ ^外部サ ^{ビスの利用}

目的趣旨

外部委行遂行場合原則 _4.1.1 外部委規定

い委先特約締結情報ュ対策適講必

要あ要機密情報扱わい場合あ委先高い

情報管理要求必要無い場合民間業者特定多数利用者向

約款基ンネ提供情報処理等 _1.3節い約款

外部定義利用考え

う約款外部得利用場合種々情報

府機提供業者等信い十認識十踏え

利用否断定遵従情報ュ対策適

講求

遵守事項

(1) ^約款 ^外部 ^利用 ^係 ^規定 ^整備

(a) ^統括情報 ^ュ ^責任者 ^含 ^約款 ^外部 ^利用

規定整備当利用い要機密情報扱わ

いう規定

( ) ^約款 ^外部 ^利用 ^い業 ^範

( ) ^業 ^利用 ^約款 ^外部

( ) ^利用手 ^{及び運用手}

(b) ^情報 ^ュ ^責任者 ^約款 ^外部 ^利用 ^場合 ^利用

責任者定

(2) ^約款 ^外部 ^利用 ^対策 ^実施

(a) ^行 ^従 ^者 ^利用 ^約款 ^{提供条件等} ^利用 ^当

許容確認約款外部利用

申請適措置講利用

(33)

27

4.1.3 ^ソ ^シャ ^サ ^ビスによ ^情報発信

目的趣旨

ンネいソネワン動画共

等利用者情報発信形成い様々ソ普及

い府機い積極的広報活動等目的う利用

うい民間業者等提供いソ

.go.jp ^終わ ^ン ^府 ^ン ^いう ^使用

い真ンあ国民等確認う必要あ

府機ン乗場合利用いソ

告停必要情報発信い態生場合想定

要定情報広国民等提供当情報必要国民等一次

情報源確認う情報発信方法考慮必要あ加え虚偽情報国

民等混乱生いう発信元対策等い措置講

必要あ

うソ機能張追加等術進展著

い常当運用業者等動向等外部環境変化機敏対応

求

ソ利用約款外部利用相当

4.1.2 ^規定 ^様 ^{要機密情報} ^扱わ ^委 ^先 ^高い

情報管理要求必要無い場合限定遵従情

報ュ対策適講求

遵守事項

(1) ^ソ ^{情報発信時} ^対策

(a) ^統括情報 ^ュ ^責任者 ^府省庁 ^管理 ^ン ^ソ

利用前提含情報ュ対策

運用手等定当利用い要機密情報

扱わいう規定

( ) ^府省庁 ^ン ^情報発信 ^実 ^府省庁 ^あ ^明

ン運用組織明示方法

対策講

( ) ^ワ ^等 ^{主体認証情報} ^適 ^管理 ^方法

対策講

(b) ^情報 ^ュ ^責任者 ^府省庁 ^い ^情報発信 ^ソ

利用場合利用ソ責任者

定

(c) ^行 ^従 ^者 ^要 ^{定情報} ^国民 ^提供 ^ソ

(34)

28

用い場合府省庁自己管理当情報掲載参照能

4.1.4 ^サ ^{ビスの利用}

目的趣旨

業及び情報高度化効率化等理由府機い

利用大見込い利用当基

部含情報流通経路全般瞰総合的対策設計構成ュ

確保必要あ

利用府機委先扱い委

情報当委先い適扱わい

利用い適扱い行わい直接確認一般容易

い複数利用者共通基利用

自身含利用者係情報開示困あ

委先適選択う特性理解

府機委先ン効性利用ュ確保必要

十考慮求

遵守事項

(1) ^利用 ^対策

(a) ^情報 ^ュ ^責任者 ^民間 ^業者 ^提供

限府自提供含利用当

扱う情報格付及び扱制限踏え情報扱い委否断

(b) ^情報 ^ュ ^責任者 ^扱わ ^情報 ^対

国法外法適用評価委先選定必要応

委業実施場及び契約定準法裁管轄指定

(c) ^情報 ^ュ ^責任者 ^中断 ^終了時 ^滑

業移行対策検討委先選定要件

(d) ^情報 ^ュ ^責任者 ^特性 ^考慮

部含情報流通経路全般わュ適確保

う情報流通経路全般見渡形ュ設計行

ュ要件定

(e) ^情報 ^ュ ^責任者 ^対 ^情報 ^ュ

査報告書容各種認定認証制度適用状況等

及び当委先信頼性十あ総合的客観的評

価断

政府機関の情報セキュリティ対策のための統一基準(平成28年度版)

府機 情報 ュ 対策 統一基準

成 28 度版

成 28 ８ 31 日

ュ 戦略 部

目次

第 1 部 総則

1.1 統一基準の目的 適用範囲

1.2 情報の格付の区分 取扱制限

1.3 用語定義

第 2 部 情報セキュ 対策の基 的枠組み

2.1 導入 計画

2.1.1 組織 体制の整備

2.1.2 府省庁対策基準 対策推進計画の策定

2.2 運用

2.2.1 情報セキュ 関係規程の運用

2.2.2 例外措置

2.2.3 教育

2.2.4 情報セキュ ンシ ン への対処

2.3 点検

2.3.1 情報セキュ 対策の自己点検

2.3.2 情報セキュ 監査

2.4 見直し

2.4.1 情報セキュ 対策の見直し

第 3 部 情報の取扱い

3.1 情報の取扱い

3.1.1 情報の取扱い

3.2 情報を取 扱う区域の管理

3.2.1 情報を取 扱う区域の管理

第 4 部 外部委託

4.1 外部委託

4.1.1 外部委託

4.1.2 約款によ 外部サ ビスの利用

4.1.3 ソ シャ サ ビスによ 情報発信

4.1.4 サ ビスの利用

府機情報ュ対策統一基準

ュ戦略部

第 ₁ 部総則

1.1 ^{統一基準の目的} ^適用範囲

1.2 ^{情報の格付の区分} ^取扱制限

1.3 ^用語定義

第 ₂ 部情報セキュ対策の基的枠組み

2.1 ^導入 ^計画

2.1.1 ^組織 ^{体制の整備}

2.1.2 ^{府省庁対策基準} ^{対策推進計画の策定}

2.2 ^運用

2.2.1 ^{情報セキュ} ^{関係規程の運用}

2.2.2 ^例外措置

2.2.3 ^教育

2.2.4 ^{情報セキュ} ^ンシ ^ン ^への対処

2.3 ^点検

2.3.1 ^{情報セキュ} ^{対策の自己点検}

2.3.2 ^{情報セキュ} ^監査

2.4 ^見直し

2.4.1 ^{情報セキュ} ^{対策の見直し}

第 ₃ 部情報の取扱い

3.1 ^{情報の取扱い}

3.1.1 ^{情報の取扱い}

3.2 ^情報を取 ^{扱う区域の管理}

3.2.1 ^情報を取 ^{扱う区域の管理}

第 ₄ 部外部委託

4.1 ^外部委託

4.1.1 ^外部委託

4.1.2 ^約款によ ^外部サ ^{ビスの利用}

4.1.3 ^ソ ^シャ ^サ ^ビスによ ^情報発信

4.1.4 ^サ ^{ビスの利用}