• 検索結果がありません。

「政府機関の情報セキュリティ対策のための統一基準(第3版)」

N/A
N/A
Protected

Academic year: 2018

シェア "「政府機関の情報セキュリティ対策のための統一基準(第3版)」"

Copied!
79
0
0

読み込み中.... (全文を見る)

全文

(1)

府機 情報コゥポモゾ゛対策

統一基準(第 年 版)

2008 2 4

情報コゥポモゾ゛ 策会議

(2)
(3)

第 部 総則... 1

1.1.1 曓統一基準 置付 ... 1

(1) 府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付 .. 1

(2) 曓統一基準 改訂... 1

(3) ... 1

1.1.2 曓統一基準 使い方... 2

(1) 曓統一基準 省庁対策基準 ... 2

(2) 適用対象範 ... 2

(3) 全体構成... 2

(4) 対策 載事 ... 3

(5) 対策ヤパャ 設定... 3

(6) 評価 方法... 3

1.1.3 用語定義... 4

第 部 組織 体制 整備... 9

2.1 ... 9

2.1.1組織ン体制 整備... 9

遵 事 ... 9

(1) 暷高情報コゥポモゾ゛責任者 設置... 9

(2) 情報コゥポモゾ゛委員会 設置... 9

(3) 情報コゥポモゾ゛監査責任者 設置... 9

(4) 情報コゥポモゾ゛責任者 設置... 9

(5) 情報クケゾヘコゥポモゾ゛責任者 設置... 10

(6) 情報クケゾヘコゥポモゾ゛管理者 設置... 10

(7) 課室情報コゥポモゾ゛責任者 設置... 10

2.1.2役割 割当 ... 11

遵 事 ... 11

(1) を禁 る役割 規定... 11

(2) よる 認ン許 ... 11

2.1.3 例外措置... 11

遵 事 ... 11

(1) 対処... 11

(2) 例外措置... 11

2.2 運用... 14

2.2.1情報コゥポモゾ゛対策 教育... 14

遵 事 ... 14

(1) 情報コゥポモゾ゛対策 教育 実施... 14

(2) 情報コゥポモゾ゛対策 教育 ... 14

2.2.2 害等 対処... 15

(4)

遵 事 ... 15

(1) 害等 発生 備え 事前準備... 15

(2) 害等 発生時 る報告 応急措置... 15

(3) 害等 原因調査 再発防 ... 15

2.3 評価... 17

2.3.1 情報コゥポモゾ゛対策 自己 ... 17

遵 事 ... 17

(1) 自己 度計画 策定... 17

(2) 自己 実施 る準備... 17

(3) 自己 実施... 17

(4) 自己 検結果 評価... 17

(5) 自己 改善... 17

2.3.2 情報コゥポモゾ゛対策 監査... 18

遵 事 ... 18

(1) 監査計画 策定... 18

(2) 監査 実施 る指示... 18

(3) 監査業 る監査実施計画 策定... 18

(4) 監査 実施 る準備... 18

(5) 監査 実施... 18

(6) 監査結果 る対処... 19

2.4 見直 ... 20

2.4.1 情報コゥポモゾ゛対策 見直 ... 20

遵 事 ... 20

(1) 情報コゥポモゾ゛対策 見直 ... 20

第 部 情報 い 対策... 21

3.1 情報 格付 ... 21

3.1.1 情報 格付 ... 21

遵 事 ... 21

(1) 情報 格付 ... 21

3.2 情報 扱い... 22

3.2.1 情報 作成 入手... 22

遵 事 ... 22

(1) 情報 作成又 入手 ... 22

(2) 情報 作成又 入手時 る格付 決定 扱制限 検討... 22

(3) 格付 扱制限 明示等... 22

(4) 格付 扱制限 ... 22

(5) 格付 扱制限 変更... 22

3.2.2 情報 利用... 23

遵 事 ... 23

(1) 利用 ... 23

(5)

(2) 格付 及び 扱制限 情報 扱い... 23

(3) 要保護情報 扱い... 23

3.2.3 情報 ... 23

遵 事 ... 23

(1) 格付 情報 ... 23

(2) 情報 期間... 24

3.2.4 情報 ... 24

遵 事 ... 24

(1) 情報 る許 及び届出... 24

(2) 情報 運搬 選択... 24

(3) 手段 決定... 25

(4) 書面 保護対策... 25

(5) 電磁的 保護対策... 25

3.2.5 情報 提供... 26

遵 事 ... 26

(1) 情報 公表... 26

(2) 情報 提供... 26

3.2.6 情報 消去... 26

遵 事 ... 26

(1) 電磁的 消去方法... 26

(2) 書面 廃棄方法... 27

第 部 情報コゥポモゾ゛要件 明確化 基 対策... 28

4.1 情報コゥポモゾ゛ 機能... 28

4.1.1主体認証機能... 28

遵 事 ... 28

(1) 主体認証機能 ... 28

(2) カヴチ 管理... 30

(3) 主体認証情報 管理... 30

4.1.2 ゚ェコケ制御機能... 31

遵 事 ... 31

(1) ゚ェコケ制御機能 ... 31

(2) ゚ェコケ制御... 31

4.1.3 権限管理機能... 31

遵 事 ... 31

(1) 権限管理機能 ... 31

(2) カヴチ 主体認証情報 管理... 32

(3) カヴチ 主体認証情報 暶手段等 適用... 33

4.1.4 証跡管理機能... 33

遵 事 ... 33

(1) 証跡管理機能 ... 33

(6)

(2) 証跡 ... 34

(3) 証跡 析及び報告... 34

(4) 証跡管理 る利用者 周知... 34

4.1.5保証 機能... 35

遵 事 ... 35

(1) 保証 機能 ... 35

4.1.6 電子署 鍵管理を含 ... 35

遵 事 ... 35

(1) 化機能及び電子署 る方式 整備... 35

(2) 化機能及び電子署 機能 ... 35

(3) 化及び電子署 る管理... 36

(4) 化機能及び電子署 機能 利用... 36

4.2 情報コゥポモゾ゛ ... 38

4.2.1 コゥポモゾ゛ビヴャ対策... 38

遵 事 ... 38

(1) 情報クケゾヘ 構築時... 38

(2) 情報クケゾヘ 運用時... 38

4.2.2 ハュエメヘ対策... 39

遵 事 ... 39

(1) 情報クケゾヘ 構築時... 39

(2) 情報クケゾヘ 運用時... 39

4.2.3 キヴニケ 能攻撃対策... 40

遵 事 ... 40

(1) 情報クケゾヘ 構築時... 40

(2) 情報クケゾヘ 運用時... 41

4.2.4 対策... 41

遵 事 ... 41

(1) 情報クケゾヘ 構築時... 41

(2) 情報クケゾヘ 運用時... 41

4.3 情報クケゾヘ コゥポモゾ゛要件... 42

4.3.1 情報クケゾヘ コゥポモゾ゛要件... 42

遵 事 ... 42

(1) 情報クケゾヘ 計画... 42

(2) 情報クケゾヘ 構築ン運用... 42

(3) 情報クケゾヘ 移行ン廃棄... 43

(4) 情報クケゾヘ 見直 ... 43

(5) 情報クケゾヘ 帳整備... 43

第 部 情報クケゾヘ 構成要素 い 対策... 44

5.1 施設 環境... 44

5.1.1 電子計算機及び通信回線装置を設置 る 全区域... 44

(7)

遵 事 ... 44

(1) 立入り及び 管理... 44

(2) 訪問者及び 渡業者 管理... 44

(3) 電子計算機及び通信回線装置 コゥポモゾ゛確保... 45

(4) 全区域内 コゥポモゾ゛管理... 45

(5) 災害及び 対策... 46

5.2 電子計算機... 47

5.2.1 電子計算機共通対策... 47

遵 事 ... 47

(1) 電子計算機 設置時... 47

(2) 電子計算機 運用時... 47

(3) 電子計算機 運用終了時... 48

5.2.2 端曒... 48

遵 事 ... 48

(1) 端曒 設置時... 48

(2) 端曒 運用時... 49

5.2.3 キヴト装置... 49

遵 事 ... 49

(1) キヴト装置 設置時... 49

(2) キヴト装置 運用時... 50

5.3 ゚ハモォヴクミンソネダゞゟ゚... 51

5.3.1 通信回線を介 提供 る゚ハモォヴクミン共通対策... 51

遵 事 ... 51

(1) ゚ハモォヴクミン 入時... 51

(2) ゚ハモォヴクミン 運用時... 51

5.3.2 電子ベヴャ... 51

遵 事 ... 51

(1) 電子ベヴャ 入時... 51

(2) 電子ベヴャ 運用時... 51

5.3.3 ゞゟノ... 52

遵 事 ... 52

(1) ゞゟノ 入時... 52

(2) ゞゟノ 運用時... 52

5.3.4 チベ゜ンヅヴヘクケゾヘ DNS ... 52

遵 事 ... 52

(1) DNS 入時... 52

(2) DNS 運用時... 53

5.4 通信回線... 54

5.4.1 通信回線共通対策... 54

遵 事 ... 54

(8)

(1) 通信回線 構築時... 54

(2) 通信回線 運用時... 55

(3) 通信回線 運用終了時... 56

5.4.2 府省庁内通信回線 管理... 56

遵 事 ... 56

(1) 府省庁内通信回線 構築時... 56

(2) 府省庁内通信回線 運用時... 56

(3) 回線 対策... 56

5.4.3 府省庁外通信回線 ... 57

遵 事 ... 57

(1) 府省庁内通信回線 府省庁外通信回線 ... 57

(2) 府省庁外通信回線 いる府省庁内通信回線 運用時... 57

第 部 個 事 い 対策... 59

6.1 調 ン開発 わる情報コゥポモゾ゛対策... 59

6.1.1 機器等 購入... 59

適用範 ... 59

遵 事 ... 59

(1) 情報コゥポモゾ゛確保 府省庁内共通 整備... 59

(2) 機器等 購入 実施 る手 ... 59

6.1.2 外部委 ... 59

適用範 ... 59

遵 事 ... 60

(1) 情報コゥポモゾ゛確保 府省庁内共通 整備... 60

(2) 実施 る情報コゥポモゾ゛対策 明確化... 60

(3) 選定... 60

(4) 外部委 る契約... 61

(5) 外部委 実施 る手 ... 61

(6) 外部委 終了時 ... 62

6.1.3 ソネダゞゟ゚開発... 62

遵 事 ... 62

(1) ソネダゞゟ゚開発体制 確立時... 62

(2) ソネダゞゟ゚開発 開始時... 62

(3) ソネダゞゟ゚ 設計時... 62

(4) ソネダゞゟ゚ 作成時... 63

(5) ソネダゞゟ゚ 試験時... 63

6.2 ... 64

6.2.1 府省庁外 情報処理 制限... 64

遵 事 ... 64

(1) 全管理措置 規定 整備... 64

(2) 及び届出 得及び管理... 64

(9)

(3) 全管理措置 ... 65

6.2.2 府省庁支給 情報クケゾヘ よる情報処理 制限... 65

遵 事 ... 65

(1) 全管理措置 規定 整備... 65

(2) 及び届出 得及び管理... 65

(3) 全管理措置 ... 66

6.2.3情報クケゾヘ IPv6 る対策... 66

遵 事 ... 66

(1) IPv6移行機構 弱性対策... 66

(2) IPv6通信 監視... 67

6.3 ... 68

6.3.1 府省庁外 情報コゥポモゾ゛水準 を招 ... 68

遵 事 ... 68

(1) 措置 規定 整備... 68

(2) 措置 ... 68

6.3.2 計画 整合的運用 確保... 68

適用範 ... 68

遵 事 ... 68

(1) 府省庁 る業 計画 整備計画 把握... 68

(2) 計画 情報コゥポモゾ゛対策 整合性 確保... 68

(3) 計画 情報コゥポモゾ゛ 規程 整合 報告... 69

6.3.3 チベ゜ン 使用 対策... 69

遵 事 ... 69

(1) チベ゜ン 使用... 69

(10)

第 部 総則

1.1.1 統一基準の 置付け

(1) 府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付

各府省庁 情報コゥポモゾ゛ 確保 い 各府省庁 自ら 責任 い 対策

を講 い 原則 ある 府機 全体 情報コゥポモゾ゛対策を強化ン

充 る 府機 情報コゥポモゾ゛対策 強化 る基曓方針 成

暻 日付情報コゥポモゾ゛ 策会議決定 基 府機 行う 情報

コゥポモゾ゛対策 統一的 枠組 を構築 各府省庁 情報コゥポモゾ゛水準 斉一

的 引 を る 必要 ある 曓統一基準 府機 統一的 枠組

中 各府省庁 情報コゥポモゾ゛ 確保 採る 対策 及び 水準を

更 高 る 対策 基準を定 ある

(2) 曓統一基準 改訂

情報コゥポモゾ゛ 水準を適 維持 い 状況 変化を的確 らえ

れ 応 情報コゥポモゾ゛対策 見直 を る 重要 ある 曓統一基準

い れを各府省庁 い れ れ 府省庁 特性を踏 え 省庁対策基準

及び実施手 整備 活用 情報コゥポモゾ゛対策 評価 使用 る より

曓統一基準 内容を追加ン修 等 明ら る 考えられる

情報 術 進歩 応 曓統一基準 載 る情報コゥポモゾ゛対策を変更 る

必要 り得る

曓統一基準 見直 を定期的 行い 必要 応 目 追加や 内容

充実等を る よ 適用性を将来 わ り維持 る る

各府省庁 い 曓統一基準 更新 れ 場合 内容を省庁対策基準 適

映 る必要 ある

(3)

情報及び情報クケゾヘ 扱い 法 及び規則等 連法 等

いう い 規定 れ いる 情報コゥポモゾ゛対策を実施 る 曓統

一基準 連法 等を遵 れ ら い れら 連法 等 情報

コゥポモゾ゛対策 わら 当然 遵 ある 曓統一基準 あ

え 連法 等 遵 い 明 い い 情報コゥポモゾ゛対策 る内

容 い 定 既 府決定等 い 様 遵 る

(11)

1.1.2 統一基準の使い方

(1) 曓統一基準 省庁対策基準

曓統一基準 府省庁 情報コゥポモゾ゛ 確保 採る 対策 及

び 水準を更 高 る 対策 基準を定 ある

各府省庁 い 曓統一基準 定 られ 情報コゥポモゾ゛確保を目標

現行 情報コゥポモゾ゛ 規程 い 必要 見直 を行う る

各府省庁 い 曓統一基準 定 られ いる内容を合理的 理由 省庁

対策基準 映 い いう あ ら い 各府省庁 各府省庁 特性

を踏 え 省庁対策基準 盛り込 内容を決定 曓統一基準を直接参照 る

曓統一基準を り込 又 構成や表現を変え 盛り込 等 方法 より適

映 る る

(2) 適用対象範

曓統一基準 適用 れる対象範 を よう 定 る

(a) 曓統一基準 情報 を目的 作成 いる 曓統一基準

情報 情報クケゾヘ内部 録 れ 情報 情報クケゾヘ外部 電磁的

録媒体 録 れ 情報及び情報クケゾヘ ある書面 載 れ 情報

をいう 作業途 文書 適用対象 あり 書面 載 れ 情報

電磁的 録 れ いる情報を 載 書面 情報クケゾヘ 入力 れ

情報を 載 書面 情報クケゾヘ ら出力 情報を 載 書面 及び情報

クケゾヘ る設計書 含 れる

(b) 曓統一基準 従事者 適用 れる 曓統一基準

事者 府職員及び れ れ 府省庁 指揮 服 いる者 う

れ れ 府省庁 管理対象 ある情報及び情報クケゾヘを り扱う者をいう

(c) 曓統一基準 府省庁 法制局 人事院

宮内庁 公 引委員会 国家公 委員会 警察庁 金融庁 総 省 法 省 外 省 省 文部科学省 厚生労働省 農林水産省 経済産業省 国土交通 省 環境省及び防衛省をいう

(3) 全体構成

曓統一基準 部 節及び よ 構成 れる

曓統一基準 情報コゥポモゾ゛対策を 組織 体制 構築 情報 い 対策

情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ 構成要素 い

対策 個 事 い 対策 部 類 ら 内容 応 節 対

策 目 対策基準を定 いる

(a) 組織 体制 整備 組織全体 情報コゥポモゾ゛対策を実施 る

当 り 実施体制や評価手 や例外措置 組織 構築 課題

を り 組織 運用 る各職員 権限 責 を明確 る

(b) 情報 対策 情報 作成 利用 提供及び消去等

(12)

い 情報 メ゜ネキ゜ェャ 着目 各段 い 遵 事 を定 各職員 業 中 常 実施 る情報保護 対策を示

(c) 情報コゥポモゾ゛要件 明確化 対策 情報クケゾヘ

゚ェコケ制御 観 入 コゥポモゾ゛機能を示 コゥポモ

ゾ゛ビヴャ ハュエメヘ及びキヴニケ 能攻撃等 威を防 遵

事 を定 情報クケゾヘ い 講 対策を示

(d) 情報クケゾヘ 構成要素 対策 電子計算機及び通信回線等

個 情報クケゾヘ 特性及びメ゜ネキ゜ェャ 観 ら れ れ遵

事 を定 情報クケゾヘ い 講 対策を示

(e) 対策 調 ン開発や府省庁外 情報処理等

情報コゥポモゾ゛ 配慮 求 られる個 事象 着目 れ れ遵

事 を定 る

(4) 対策 載事

曓統一基準 各府省庁 行う 対策基準 い 対策 目 遵 事 を

(5) 対策ヤパャ 設定

情報コゥポモゾ゛対策 い 対象 る情報資産 重要性や り巻 威 大

よ 必要 れる対策 一様 い 当 る情報クケゾヘ及び業

特性 応 各対策 目 適 強度 対策を実施 ある

曓統一基準 い 各対策 目 対策 強度 段 を設 採る 遵 事 を定

いる 段 を 対策ヤパャ び よう 定義 る

(a) 基曓遵 保護 情報 れを り扱う情報クケゾヘ

必須 実施 対策事

(b) 強化遵 重要 情報 れを り扱う情報クケゾヘ

各府省庁 い 事 必要性 暼無を検討 必要 認 られる

選択 実施 対策事

より 各府省庁 基曓遵 事 対策を実施 る る 当 情報

クケゾヘ及び業 特性を踏 え モケェを十 案 対策 目 適

対策ヤパャを選択 れ ら い

(6) 評価 方法

情報コゥポモゾ゛対策 一過性 遅滞 的 組 を実施

る ある 重要 ある 各府省庁 い 曓統一基準 基

定期的又 事案等 発生 状況 応 情報コゥポモゾ゛監査を行い を確認 る必要 ある

(a) 省庁対策基準 統一基準 内容 いる 設計 性確認

(b) 運用 省庁対策基準 いる 運用 性確認

(c) 省庁対策基準 内容 モケェ ある 効率的 内容 ある

(13)

あるい 実現困 内容 い い (設計 妥当性確認)

(d) 運用 モケェ 暼効 効率的 ある 運用 妥当性確認

特 各府省庁 情報コゥポモゾ゛監査 い 設計及び運用 準 性確認を

第一 目的 る 監査 過程 い 設計及び運用 妥当性 連

改善 思われる 発見 れ 場合 れを要検討事 る 望

い 曓統一基準 い 実施 者を具体的 示 遵 事 を定 い

る 対策 実施状況 い 各自 役割 応 自己 検を実施 る る

情報コゥポモゾ゛対策 い 各自 れ れ 役割を十 実行 る

あり 各自 る対策 実効性を確保 る 自己 検を活用 る あ

る 各府省庁 監査を行う 自己 検 適 を確認 運用

準 性確認 用いる る

情報コゥポモゾ゛対策 実施 い 原則 各府省庁 責任 い

運用 る 大前提 ある 府機 全体 情報コゥポモゾ゛対策推進

観 ら 各府省庁 対策 実施状況及び監査結果 い 内 官 情報コゥポモゾ゛

コンシヴ 報告を行う る ら 内 官 情報コゥポモゾ゛コンシヴ 曓

統一基準 る評価指標 基 各府省庁 情報コゥポモゾ゛ 規程 整備状況

及び対策実施状況 い 定期的又 必要 応 検査 評価 る る

対象 る情報クケゾヘ 範 い 内 官 情報コゥポモゾ゛コンシヴ 各府省

庁 協議 定 る る

1.1.3 用語定義

z ゚ェコケ制御 主体 よる゚ェコケを許 る客体を制限 をいう

z 全区域 電子計算機及び通信回線装置を設置 事 室又 キヴトャヴヘ

等 内部 あ 部外者 侵入や自然災害 発生等を原因 る情報コゥポモゾ゛

侵害 対 施設及び環境面 ら対策 講 られ いる区域をいう

z 情報クケゾヘ る計画 構築 運用等 情報処理業 一部又

全部を請 者をいう

z 渡業者 全区域内 従事 る行 従事者 物品

目的 者をいう 物品 渡 宅配便 配 事 用品 納入等 考

えられる

z 外部委 情報クケゾヘ る計画 構築 運用等 情報処理業 一部

又 全部を府省庁外 者 請 わ る をいう

z 用性 情報 ゚ェコケを認 られ 必要時 中断

情報及び 連資産 ゚ェコケ る状態を確保 る をいう

z 用性 情報 用性 情報 情報 書面を除 をいう

(14)

z 用性 情報 り扱う情報 書面を除 滅失

紛失又 当 情報 利用 能 ある より 国民 権利 侵害 れ又 行 事

定的 遂行 支 軽微 を除 を及 れ ある情報をいう

z 完全性 情報 破壊 ん又 消去 い状態を確保 をい

z 完全性 情報 完全性 情報 情報 書面を除 をいう

z 完全性 情報 り扱う情報 書面を除

誤びゅう又 破損 より 国民 権利 侵害 れ又 行 事 適確 遂行 支 軽

微 を除 を及 れ ある情報をいう

z 機器等 情報機器等及びソネダゞゟ゚をいう

z 機密性 情報 ゚ェコケを認 られ ゚ェコケ

る状態を確保 る をいう

z 機密性 情報 機密性 情報又 機密性 情報 情報をいう

z 機密性 情報 り扱う情報 秘密文書 相当 る機密性

要 い 漏えい より 国民 権利 侵害 れ又 行 事 遂行 支

を及 れ ある情報をいう

z 機密性 情報 り扱う情報 秘密文書 相当 る機密性

を要 る情報をいう

z 共用識 カヴチ 複数 主体 共用 を想定 カヴチをいう

原則 識 カヴチ 主体 対 付 れる ある

情報クケゾヘ 制約や 利用状況 を考慮 識 カヴチを複数 主体

共用 る場合 ある よう 共用 れる識 カヴチを共用識 カヴチ いう

z 録媒体 情報 れる をいう 録媒体

書面 書類 文 形等人 知覚 よ 認識 る る情報

載 れ 紙 暼体物 書面 いう 電子的方式 磁気的方式

人 知覚 よ 認識 る い方式 作られる 録 あ 電子計

算機 よる情報処理 用 供 れる 電磁的 録 いう る 録媒

体 電磁的 録媒体 いう ある 電磁的 録媒体 電子計算

機や通信回線装置 内蔵 れる内蔵電磁的 録媒体 外付 デヴチタ゛ケェ - R V MO USBベペモ ネメセクポベペモ等 外部電磁的 録媒体 ある

z 権限管理 主体認証 る情報 カヴチ及び主体認証情報を含 及び

゚ェコケ制御 る許 情報を管理 る をいう

z 公開 コゥポモゾ゛ビヴャ 知り得る状態 いるコゥポ

モゾ゛ビヴャ あり ソネダゞゟ゚やデヴチゞゟ゚ 製 ン提供元等 ら公表

れ コゥポモゾ゛ビヴャ 又 JPCERT カヴタ゛ヅヴクミンコンシヴ等 コゥポモ ゾ゛ 連機 ら公表 れ コゥポモゾ゛ビヴャ 当 る

z キヴニケ キヴト装置 動作 いる゚ハモォヴクミン より

電子計算機 対 提供 れる単独又 複数 機能 構成 れる機能群をいう

(15)

z 暷少特権機能 管理者権限を実行 る範 を管理作業 必要 暷少 制限 る機能をいう

z 情報クケゾヘ ゚ェコケ る主体を特定 をいう

z カヴチ 主体を識 情報クケゾヘ 認識 るカヴチ

をいう 表的 識 カヴチ マヴギID 挙 られる

z 重要 設計書 情報クケゾヘ る設計書 情報クケゾヘ

管理 必要 あり 紛失 漏えい等 より 行 事 遂行 支 を

及 をいう

z 主体 情報クケゾヘ ゚ェコケ る者や 情報クケゾヘ及び装置等をい

う 主体 主 人 ある場合を想定 いる 複数 情報クケゾヘや装置

連動 動作 る場合 情報クケゾヘ ゚ェコケ る主体 情報ク

ケゾヘや装置 含 る る

z 主体認証 カヴチを提示 主体 カヴチを付 主体

わ 当 主体 ある 否 を検証 る をいう 識 カヴチ い

方法 主体認証情報 提示 れ 場合 主体認証 情報クケゾヘ

れらを提示 主体を 当 主体 認識 る 認証 いう用語

公的又 第 者 証明 る いう意味を持 曓統一基準 る 主体認証

い 公的又 第 者 よる証明 限る い

z 主体認証情報 主体認証を 主体 情報クケゾヘ 提示 る情報

をいう 表的 主体認証情報 ドケワヴチ等 ある

z 主体認証情報格納装置 主体認証情報を格納 装置 あり 主体

暼又 保持 る装置をいう 暼 よる主体認証 れを 暼 いる

情報クケゾヘ 主体を 当 主体 認識 る

表的 主体認証情報格納装置 磁気ケダメ゜ハィヴチやI ィヴチ等 ある

z 省庁対策基準 各府省庁 情報資産 適用 る情報コゥポモゾ゛対

策 基準をいう

z 情報クケゾヘ 情報処理及び通信 るクケゾヘをいう

z 情報コゥポモゾ゛ 規程 省庁対策基準及び省庁対策基準 定 られ 対

策内容を具体的 情報クケゾヘや業 い よう 手 従 実行 い

い 定 実施手 をいう

z 情報 府省庁外 電磁的 情報を 並び

報を 録 電磁的 録媒体及び書面を運搬 る をいう

z 府職員 人事発 従事 る者をいう

z ソネダゞゟ゚ 電子計算機を動作 る手 及び を電子計算機 理解

る形式 述 をいう アヒヤヴゾ゛ンエクケゾヘ アヒヤヴゾ゛ンエクケ

ゾヘ 動作 る゚ハモォヴクミンを含 広義 意味 ある

z 端曒 端曒を利用 る行 従事者 直接操作を行う電子計算機 アヒヤ

ヴゾ゛ンエクケゾヘ及び接 れる周辺機器を含 あり いわゆるPC

(16)

PDA

z 通信回線 れを利用 複数 電子計算機を接 通信様式

情報を 信 る 組 をいう 回線及び通信回線装置 接 より構成

れ 通信回線 を物理的 通信回線 いい 物理的 通信回線 構成 れ

電子計算機間 定 通信様式 従 情報を 信 能 通信回線 を論理的

通信回線 いう

z 通信回線装置 回線 設置 電子計算機 より回線

信 れる情報 制御を行う 装置をいう いわゆるモヌヴシデノ ケ゜セスン

エデノ及びャヴシ ネ゙゜゚ゞァヴャ等 当 る

z 電子計算機 カンヌポヴシ全般 を指 アヒヤヴゾ゛ンエクケゾヘ及

び接 れる周辺機器を含 キヴト装置及び端曒をいう

z 扱制限 情報 扱い る制限 複製禁 持出禁 再配

付禁 暗 化必須 後廃棄 情報 適 扱いを確実 る 手段を

いう

z 複 数 要 素 複 合 主 体 認 証 multiple factors authentication / composite authentication 方式 知識 生体情報 複数 方法 組合

より主体認証を行う方法 ある

z 府省庁外 府職員 各々 る府省庁 管理 る組織又 庁舎 外を

いう

z 府省庁外通信回線 物理的 通信回線を構成 る回線 暼線又 無線 現実

又 仮想及び府省庁管理又 組織管理 及び通信回線装置を問わ 府省庁 管理 い い電子計算機 接 れ 当 電子計算機間 通信 利用 る論理的 通信 回線をいう

z 府省庁外 情報処理 府省庁 管理部外 遂行 情報処

理を行う をいう アンメ゜ン 府省庁外 ら 府職員 各々 属 る府

省庁 情報クケゾヘ 接 情報処置を行う場合 アネメ゜ン 行

う場合 含 る

z 府省庁支給 情報クケゾヘ 府職員 各々 る府省庁 支給

る情報クケゾヘ 外 情報クケゾヘをいう いわゆる私物 PC 当 府省庁

出向者 対 出向元組織 提供 る情報クケゾヘ 含 る

z 府省庁支給 情報クケゾヘ よる情報処理 府省庁支給 情報クケ

ゾヘを用い 行 事 遂行 情報処理を行う をいう 直接装置等

を用いる場合 れら装置等 よ 提供 れ いるキヴニケを利用

る場合 含 る いうキヴニケ 個人 契約 いる電子ベヴャ

キヴニケ等 あり 例え 府省庁 業 要 る電子ベヴャを 個人 契約

いる電子ベヴャキヴニケ 転 業 を行 り 個人 ベヴャ ら業 ベ

ヴャを発信 り る ある

z 府省庁内 府職員 各々 る府省庁 管理 る組織又 庁舎 内を

(17)

いう

z 府省庁内通信回線 物理的 通信回線を構成 る回線 暼線又 無線 現実

又 仮想及び府省庁管理又 組織管理 及び通信回線装置を問わ 府省庁 管理 る電子計算機を接 当 電子計算機間 通信 利用 る論理的 通信回線をい う

z ハュエメヘ カンヌポヴシゞ゜ャケ ケド゜ゞゟ゚等 電子計算機を利

用 る者 意 い結果を電子計算機 ら ソネダゞゟ゚ 総称をいう

z ハュエメヘ定義ネ゙゜ャ ゚ンスゞ゜ャケソネダゞゟ゚等 ハュエ

メヘを る 利用 るタヴシをいう

z 明示等 情報を り扱う 情報 格付 共通 認識

るよう 措置 る をいう 情報 格付 を 載 る より明

示 る を原則 る 当 情報 格付 る認識 共通 る

措置 い 明示等 含 る 例え 特定 情報クケゾヘ い

当 情報クケゾヘ 録 れる情報 格付 を規定等 明 当 情報クケゾヘを

利用 る 者 当 規定を周知 る いれ 明示等 含

z ペト゜ャPC 端曒 形態 利用 る目的 より必要

移動 る端曒をいう 特定 設置場 利用 るテヴダ型PC ペト゜ャPC 含 れ い

z 定情報 用性 情報をいう

z 要機密情報 機密性 情報及び機密性 情報をいう

z 要保護情報 要機密情報 要保全情報及び要 定情報をいう

z 要保全情報 完全性 情報をいう

z 例外措置 従事者 実施 責任を持 情報コゥポモゾ゛

程を遵 る 困 状況 行 事 適 遂行を る 遵 事

異 る 暶 方法を採用 又 遵 事 を実施 い い 合理的理由

ある場合 い 申請 許 を得 適用 る行 をいう

z ュエ゜ン 何ら 主体 主体認証を要求 る行 をいう ュエ゜ン

主体認証 行われる ュエ゜ン 段 主体 当 ある 限ら い

z ュエアン ュエ゜ン 結果 より 主体認証を要求 主体 ある

情報クケゾヘ 確認 れ 状態をいう

(18)

第 部 組織と体制の整備

2.1 導入

2.1.1 組織 体制の整備

遵守事項

(1) 暷高情報コゥポモゾ゛責任者 設置 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者を 人置

(b) 暷高情報コゥポモゾ゛責任者 府省庁 る情報コゥポモゾ゛対策 る 事 を統括 る

(c) 暷高情報コゥポモゾ゛責任者 必要 応 情報コゥポモゾ゛ る専門的

知識及び経験を暼 専門家を暷高情報コゥポモゾ゛゚チト゜ギヴ 置

(2) 情報コゥポモゾ゛委員会 設置 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛委員会を設置 委員長及び 委員を置

(b) 情報コゥポモゾ゛委員会 情報コゥポモゾ゛ る省庁対策基準を策定 暷高情報コゥポモゾ゛責任者 認を得る

(3) 情報コゥポモゾ゛監査責任者 設置 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛監査責任者を 人置 (b) 情報コゥポモゾ゛監査責任者 暷高情報コゥポモゾ゛責任者 指示 基

監査 る事 を統括 る

(4) 情報コゥポモゾ゛責任者 設置 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛対策 運用 る管理を行う

単 を定 単 情報コゥポモゾ゛責任者を置 う 情

報コゥポモゾ゛責任者を統括 る者 統括情報コゥポモゾ゛責任者を 人置 (b) 情報コゥポモゾ゛責任者 管 る単 る情報コゥポモゾ゛対策

る事 を統括 る

(c) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛対策 る 用 開始 終

了及び人事異動等 る管理 規定を整備 る

(19)

(d) 情報コゥポモゾ゛責任者 情報コゥポモゾ゛対策 る 用 開始 終了及

び人事異動等 る管理 規定 従 運用 れ いる を定期的 確

認 る

(e) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者を置い 時及び変更

時 統括情報コゥポモゾ゛責任者 を連絡 る

(f) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者 対 る連絡 網を整備 る

(5) 情報クケゾヘコゥポモゾ゛責任者 設置 基曓遵 事

(a) 情報コゥポモゾ゛責任者 管 る単 る情報クケゾヘ 情報クケ

ゾヘコゥポモゾ゛責任者を置

(b) 情報クケゾヘコゥポモゾ゛責任者 管 る情報クケゾヘ 対 る情報コゥポ

モゾ゛対策 る事 を統括 る

(c) 情報コゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛責任者を置い 時及び変

更 時 統括情報コゥポモゾ゛責任者 を報告 る

(d) 統括情報コゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛責任者 対 る連絡網を整備 る

(6) 情報クケゾヘコゥポモゾ゛管理者 設置 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 管 る情報クケゾヘ 管理業 い

必要 単 情報クケゾヘコゥポモゾ゛管理者を置

(b) 情報クケゾヘコゥポモゾ゛管理者 管 る管理業 る情報コゥポモゾ

゛対策を実施 る

(c) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛管理者を置い

時及び変更 時 統括情報コゥポモゾ゛責任者 を報告 る

(d) 統括情報コゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛管理者 対 る連絡網を整備 る

(7) 課室情報コゥポモゾ゛責任者 設置 基曓遵 事

(a) 情報コゥポモゾ゛責任者 各課室 課室情報コゥポモゾ゛責任者を 1 人置

(b) 課室情報コゥポモゾ゛責任者 課室 る情報コゥポモゾ゛対策 る事 を統括 る

(c) 情報コゥポモゾ゛責任者 課室情報コゥポモゾ゛責任者を置い 時及び変更

時 統括情報コゥポモゾ゛責任者 を報告 る

(d) 統括情報コゥポモゾ゛責任者 課室情報コゥポモゾ゛責任者 対 る 連絡網を整備 る

(20)

2.1.2 役割の割当

遵守事項

(1) を禁 る役割 規定 基曓遵 事

(a) 従事者 情報コゥポモゾ゛対策 運用 役割を兼

() 認又 事案 申請者 認権限者又 権限者 認権

限者等 いう

() 監査を る者 監査を実施 る者

(2) よる 認ン許 基曓遵 事

(a) 従事者 認権限者等 る職 権限等 認権限者

等 認又 許 認等 いう 否 断を行う 適

認 られる場合 当 認権限者等 認等 申請を る

場合 い 当 認権限者等 認等を得 当 認権限者

等 認等を得る を要 い

(b) 従事者 前事 場合 認等を 認権限者等

る遵 事 準 措置を講 る

2.1.3 違反 例外措置

遵守事項

(1) 対処

基曓遵 事

(a) 従事者 情報コゥポモゾ゛ 規程 重大 を知 場合

規定 実施 責任を持 情報コゥポモゾ゛責任者 を報告 る

(b) 情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 重大 報告を

場合及び自ら 重大 を知 場合 者及び必要 者 情報コゥポモ

ゾ゛ 維持 必要 措置を講 る

(c) 情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 重大 報告を

場合及び自ら 重大 を知 場合 暷高情報コゥポモゾ゛責任者

を報告 る (2) 例外措置

基曓遵 事

(a) 情報コゥポモゾ゛委員会 例外措置 適用 申請を審査 る者 許 権限者 いう を定 審査手 を整備 る

(21)

(b) 従事者 例外措置 適用を希望 る場合 られ 審査手 従い

許 権限者 例外措置 適用を申請 る 行 事 遂行 緊急を要

る等 場合 あ 情報コゥポモゾ゛ 規程 規定 異 る 暶 方法を直

採用 る 又 規定を実施 い 避 事後 や 申請 許

を得る 行 事 従事者 申請 事 を含 目を明確 る

() 申請者 情報 連絡先

() 例外措置 適用を申請 る情報コゥポモゾ゛ 規程 適用箇 規程 条 等

() 例外措置 適用を申請 る期間

() 例外措置 適用を申請 る措置内容 暶手段等 () 例外措置 適用を終了 報告方法

() 例外措置 適用を申請 る理由

(c) 権限者 従事者 よる例外措置 適用 申請を られ 審査手

従 審査 許 否を決定 る 決定 目を含

例外措置 適用審査 録を作成 暷高情報コゥポモゾ゛責任者 報告 る () 決定を審査 情報 役割 連絡先

() 申請内容

申請者 情報 連絡先

例外措置 適用を申請 る情報コゥポモゾ゛ 規程 当箇 規程

条 等

例外措置 適用を申請 る期間

例外措置 適用を申請 る措置内容 暶手段等

例外措置 適用を終了 報告方法

例外措置 適用を申請 る理由 () 審査結果 内容

理由

例外措置 適用を許 情報コゥポモゾ゛ 規程 適用箇 規程

条 等

例外措置 適用を許 期間

措置内容 暶手段等

例外措置を終了 報告方法

(d) 従事者 例外措置 適用 例外措置を適用 場合

れを終了 当 例外措置 許 権限者 を報告 る

許 権限者 報告を要 い 場合 限り い

(e) 権限者 例外措置 適用を許 期間 終了期日

報告 暼無を確認 報告 い場合 許 を 者 状況を報告 必要

措置を講 る 許 権限者 報告を要 い 場合 限り

(22)

(f) 暷高情報コゥポモゾ゛責任者 例外措置 適用審査 録 帳を整備 例外措置 適用審査 録 参照 い 情報コゥポモゾ゛監査責任者 ら 求 応 る

(23)

2.2 運用

2.2.1 情報セキュ 対策の教育

遵守事項

(1) 情報コゥポモゾ゛対策 教育 実施 基曓遵 事

(a) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 い 行 事

従事者 対 啓発を る

(b) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 い 行 事

従事者 教育 内容を検討 教育 資料を整備 る

(c) 統括情報コゥポモゾ゛責任者 行 事 従事者 毎 度暷 回 講 る よう 情報コゥポモゾ゛対策 教育 る計画を企画 立案 る

実施体制を整備 る

(d) 統括情報コゥポモゾ゛責任者 行 事 従事者 着任時 異動時 新 い職場

等 暻 内 講 るよう 情報コゥポモゾ゛対策 教育を企画 立案

る 実施体制を整備 る

(e) 統括情報コゥポモゾ゛責任者 行 事 従事者 情報コゥポモゾ゛対策 教育 講状況を管理 る 組 を整備 る

(f) 統括情報コゥポモゾ゛責任者 行 事 従事者 情報コゥポモゾ゛対策 教育 講状況 い 課室情報コゥポモゾ゛責任者 通知 る

(g) 課室情報コゥポモゾ゛責任者 行 事 従事者 情報コゥポモゾ゛対策 教育

講 成 れ い い場合 曑 講 者 対 講を勧告 る

行 事 従事者 当 勧告 従わ い場合 統括情報コゥポモゾ゛責

任者 を報告 る

(h) 統括情報コゥポモゾ゛責任者 毎 度 回 暷高情報コゥポモゾ゛責任者及び 情報コゥポモゾ゛委員会 対 行 事 従事者 情報コゥポモゾ゛対策 教

育 講状況 い 報告 る

強化遵 事

(i) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 い 行 事 従事者 対 る情報コゥポモゾ゛対策 訓練 内容及び体制を整備 る

(2) 情報コゥポモゾ゛対策 教育 基曓遵 事

(a) 従事者 度暷 情報コゥポモゾ゛対策 教育 る計画

従 情報コゥポモゾ゛対策 教育を 講 る

(b) 従事者 着任時 異動時 い職場等 情報コゥポモゾ゛対策 教育 講方法 い 課室情報コゥポモゾ゛責任者 確認 る

(c) 従事者 情報コゥポモゾ゛対策 教育を 理由 曓人

責任 い 思われる場合 理由 い 課室情報コゥポモゾ゛

(24)

責任者を通 統括情報コゥポモゾ゛責任者 報告 る 強化遵 事

(d) 従事者 情報コゥポモゾ゛対策 訓練 る規定 られ いる

場合 当 規定 従 情報コゥポモゾ゛対策 訓練 参加 る

2.2.2 障害等の対処

遵守事項

(1) 害等 発生 備え 事前準備 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛ る 害等 ゜ンクタン

ダ及び故 を含 害等 いう 発生 場合 被害 大を防

害等 ら復 る 体制を整備 る

(b) 統括情報コゥポモゾ゛責任者 害等 い 行 事 従事者 ら情報コゥポ

モゾ゛責任者 報告手 を整備 当 報告手段を 行 事 従事者

周知 る

(c) 統括情報コゥポモゾ゛責任者 害等 発生 対処手 を整備 る (d) 統括情報コゥポモゾ゛責任者 害等 備え 行 事 遂行 特 重要

認 情報クケゾヘ い 情報クケゾヘコゥポモゾ゛責任者及び情報

クケゾヘコゥポモゾ゛管理者 緊急連絡先 連絡手段 連絡内容を含 緊急連絡 網を整備 る

強化遵 事

(e) 統括情報コゥポモゾ゛責任者 害等 い 府省庁 外部 ら報告を る

窓口を設置 窓口 連絡手段を府省庁外 公表 る

(2) 害等 発生時 る報告 応急措置 基曓遵 事

(a) 従事者 害等 発生を知 場合 る者 連絡

る 統括情報コゥポモゾ゛責任者 定 報告手 より 情報コゥポ

モゾ゛責任者 を報告 る

(b) 従事者 害等 発生 対処手 暼無を確認 れを実施

る場合 手 従う

(c) 従事者 害等 発生 場合 害等 対処手

い 及び 暼無を確認 い 対処 い 指示を

る 害等 よる被害 大防 努 る 指示 あ 場合

指示 従う

(3) 害等 原因調査 再発防 基曓遵 事

(25)

(a) 情報コゥポモゾ゛責任者 害等 発生 場合 害等 原因を調査

再発防 策を策定 結果を報告書 暷高情報コゥポモゾ゛責任者 報

告 る

(b) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者 ら 害等 い

報告を 場合 内容を検討 再発防 策を実施 る 必要

措置を講 る

(26)

2.3 評価

2.3.1 情報セキュ 対策の自己

遵守事項

(1) 自己 度計画 策定 基曓遵 事

(a) 統括情報コゥポモゾ゛責任者 度自己 検計画を策定 暷高情報コゥポモ ゾ゛責任者 認を得る

(2) 自己 実施 る準備 基曓遵 事

(a) 情報コゥポモゾ゛責任者 行 事 従事者 自己 検票及び自己 検 実 施手 を整備 る

(3) 自己 実施 基曓遵 事

(a) 情報コゥポモゾ゛責任者 統括情報コゥポモゾ゛責任者 定 る 度自己 検

計画 基 行 事 従事者 対 自己 検 実施を指示 る

(b) 従事者 情報コゥポモゾ゛責任者 ら指示 れ 自己 検票及び自己 検 実施手 を用い 自己 検を実施 る

(4) 自己 検結果 評価 基曓遵 事

(a) 情報コゥポモゾ゛責任者 行 事 従事者 よる自己 検 行われ いる

を確認 結果を評価 る

(b) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者 よる自己 検 行わ

れ いる を確認 結果を評価 る

(c) 統括情報コゥポモゾ゛責任者 自己 検 結果を暷高情報コゥポモゾ゛責任者 報告 る

(5) 自己 改善 基曓遵 事

(a) 従事者 自ら 実施 自己 結果 自己 権限

改善 る 断 改善 情報コゥポモゾ゛責任者 を報告

(b) 暷高情報コゥポモゾ゛責任者 自己 検 結果を全体 評価 必要 あ る 断 場合 情報コゥポモゾ゛責任者 改善を指示 る

(27)

2.3.2 情報セキュ 対策の監査

遵守事項

(1) 監査計画 策定 基曓遵 事

(a) 情報コゥポモゾ゛監査責任者 度監査計画を策定 暷高情報コゥポモゾ゛ 責任者 認を得る

(2) 監査 実施 る指示 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者 度監査計画 従 情報コゥポモゾ゛監査

責任者 対 監査 実施を指示 る

(b) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 状況 変化 応 必要

断 場合 情報コゥポモゾ゛監査責任者 対 度監査計画 計画 れ

外 監査 実施を指示 る

(3) 監査業 る監査実施計画 策定 基曓遵 事

(a) 情報コゥポモゾ゛監査責任者 度監査計画及び情報コゥポモゾ゛ 状況 変

化 応 監査 実施指示 基 個 監査業 監査実施計画を策定

(4) 監査 実施 る準備 基曓遵 事

(a) 情報コゥポモゾ゛監査責任者 監査業 実施 い 必要 る者を 被監 査部門 ら独立 者 ら選定 情報コゥポモゾ゛監査実施者 指 る (b) 情報コゥポモゾ゛監査責任者 必要 応 府省庁外 者 監査 一部を請

わ る (5) 監査 実施

基曓遵 事

(a) 情報コゥポモゾ゛監査実施者 情報コゥポモゾ゛監査責任者 指示 基 監査実施計画 従 監査を実施 る

(b) 情報コゥポモゾ゛監査実施者 省庁対策基準 統一基準 準 いる を 確認 る

(c) 情報コゥポモゾ゛監査実施者 実施手 省庁対策基準 準 いる を 確認 る

(d) 情報コゥポモゾ゛監査実施者 自己 検 適 性 確認を行う等 より 被監

査部門 る実 運用 情報コゥポモゾ゛ 規程 準 いる を確

認 る

(28)

(e) 情報コゥポモゾ゛監査実施者 監査調書を作成 る

(f) 情報コゥポモゾ゛監査責任者 監査調書 基 監査報告書を作成 暷高情 報コゥポモゾ゛責任者 提出 る

(6) 監査結果 る対処 基曓遵 事

(a) 暷高情報コゥポモゾ゛責任者 監査報告書 内容を踏 え 被監査部門 情報

コゥポモゾ゛責任者 対 指摘 れ 対 る対処 実施を指示 る

(b) 暷高情報コゥポモゾ゛責任者 監査報告書 内容を踏 え 監査を 部門

外 部門 い 種 課題及び問題 ある 能性 高 緊急

種 課題及び問題 ある を確認 る必要 ある 断 場合

部門 情報コゥポモゾ゛責任者 対 種 課題及び問題 暼無を確認

るよう 指示 る

(c) 情報コゥポモゾ゛責任者 監査報告書等 基 い 暷高情報コゥポモゾ゛責任

者 ら改善を指示 れ い 対処計画を策定 報告 る

(d) 暷高情報コゥポモゾ゛責任者 監査 結果を踏 え 既 情報コゥポモゾ゛

規程 妥当性を評価 必要 応 見直 を指示 る

(29)

2.4 見直し

2.4.1 情報セキュ 対策の見直し

遵守事項

(1) 情報コゥポモゾ゛対策 見直 基曓遵 事

(a) 情報コゥポモゾ゛ 規程を整備 各規定 見直 を行う必要性 暼無

を適時検討 必要 ある 認 場合 見直 を行う

(b) 従事者 情報コゥポモゾ゛ 規程 課題及び問題 られる場

合 情報コゥポモゾ゛ 規程を整備 者 相談 る

(c) 情報コゥポモゾ゛ 規程を整備 情報コゥポモゾ゛ 規程 課題及

び問題 認 られる 相談を 場合 必要 措置を講 る

(30)

第 部 情報に い の対策

3.1 情報の格付け

3.1.1 情報の格付け

遵守事項

(1) 情報 格付 基曓遵 事

(a) 情報コゥポモゾ゛委員会 行 事 り扱う情報 い 電磁的 録

い 機密性 完全性及び 用性 観 ら 書面 い 機密性 観 ら

当 情報 格付 及び 扱制限 指定並び 明示等 規定を整備 る

(31)

3.2 情報の取扱い

3.2.1 情報の作成 入手

遵守事項

(1) 情報 作成又 入手 基曓遵 事

(a) 従事者 遂行 目的 情報を作成 入手

(2) 情報 作成又 入手時 る格付 決定 扱制限 検討 基曓遵 事

(a) 従事者 情報 作成時 情報 機密性 完全性 用性 格付 を行い あわ 扱制限 必要性 暼無を検討 る

(b) 従事者 府省庁外 作成 情報を入手 管理を開始 る時

当 情報 機密性 完全性 用性 応 格付 を行い あわ 扱制限

必要性 暼無を検討 る

(3) 格付 扱制限 明示等 基曓遵 事

(a) 従事者 情報 格付 情報 参照 いる者 認識

る方法を用い 明示等 必要 応 扱制限 い 明示等 る

(4) 格付 扱制限 基曓遵 事

(a) 従事者 情報を作成 格付 情報を引用 る場合 当 情報 格付 及び 扱制限を る

(5) 格付 扱制限 変更 基曓遵 事

(a) 従事者 情報 格付 を変更 る必要性 ある 思料 る場合

当 情報 作成者又 入手者 相談 る 相談 れ 者 格付 見直

を行う必要 ある 認 場合 当 情報 対 妥当 格付 を行う

(b) 従事者 情報 扱制限を変更 る必要性 ある 思料 る場合

当 情報 作成者又 入手者 相談 る 相談 れ 者 扱制限 見直

を行う必要 ある 認 場合 当 情報 対 新 扱制限を決定

(32)

3.2.2 情報の利用

遵守事項

(1) 利用 基曓遵 事

(a) 従事者 遂行 目的 情報を利用

(2) 格付 及び 扱制限 情報 扱い 基曓遵 事

(a) 従事者 利用 る情報 明示等 格付 情報を適

り扱う 格付 加え 扱制限 明示等 れ いる場合

当 扱制限 指示内容 従 り扱う

(3) 要保護情報 扱い 基曓遵 事

(a) 従事者 遂行 目的 要保護情報を府省庁外

出 い

(b) 従事者 要保護情報を

(c) 従事者 機密性 情報を必要 複製 (d) 従事者 要機密情報を必要 配付 強化遵 事

(e) 従事者 機密性 情報 機密性 情報 り扱う期間を明

る 期間中 あ 情報 格付 を る必要性 ある

思料 れる場合 格付 変更 必要 処理を行う

(f) 従事者 機密性 情報 ある書面 一連番 を付 在を

明ら

3.2.3 情報の保存

遵守事項

(1) 格付 情報 基曓遵 事

(a) 従事者 電磁的 録媒体 要保護情報 ェコケ制御を行う

(b) 従事者 情報 格付 情報 電磁的 録媒体を 適 管理 る

(c) 従事者 情報クケゾヘ 入力 情報若 情報クケゾヘ ら出 力 情報を 載 書面 う 要機密情報 ある書面 又 重要 設計書を適

管理 る

参照

関連したドキュメント

製品開発者は、 JPCERT/CC から脆弱性関連情報を受け取ったら、ソフトウエア 製品への影響を調査し、脆弱性検証を行い、その結果を

7.法第 25 条第 10 項の規定により準用する第 24 条の2第4項に定めた施設設置管理

8) 7)で求めた1人当たりの情報関連機器リース・レンタル料に、「平成7年産業連関表」の産業別常

「系統情報の公開」に関する留意事項

第1条

拡大防止 第二基準適合までの対策 飲用井戸有 (法)要措置(条)要対策 目標濃度適合までの対策 上記以外の.

この標準設計基準に定めのない場合は,技術基準その他の関係法令等に

2.「注記事項 重要な会計方針 6.引当金の計上基準 (3)災害損失引当金 追加情報