• 検索結果がありません。

内閣官房情報セキュリティセンター

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "内閣官房情報セキュリティセンター"

Copied!
6
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 6 ページ )

全文

(1)

「政府機関の情報セキュリティ対策のための 統一基準群」の見直しの方向性について

平成

25

10

内閣官房情報セキュリティセンター

Copyright (C)2013 内閣官房情報セキュリティセンター(http://www.nisc.go.jp/)

資料 4-2 参考

(2)

政府機関の情報セキュリティ対策のための統一基準群の見直し

「政府機関の情報セキュリティ対策のための統一基準群」とは

各府省庁が情報セキュリティ確保のために採るべき対 策の最低水準や、より高い水準の対策実施を目的とし て、情報セキュリティ政策会議で定めた基準群。初版は 平成17年に策定され、以来毎年改定を行っている。

これまで各府省庁でバラつきのあったセキュリティ対策 の統一化を行ったほか、水準の底上げに貢献。

現行の統一基準群の主な課題と見直しの方向性

一方、現行基準の課題、最近の状況の変化を踏まえ、より実践的な基準への見直しが 必要(※)

① 共通的に実施すべき基礎(ベースライン)となる対策を明確化

② 実践的に対策を導入できるよう、実施メカニズムを見直し等 毎年の改定により基準が

複雑化・肥大化 技術の進展、環境変化等

による形骸化 サイバー攻撃の手法が

多様化・巧妙化

現行基準の主な課題 見直しの方向性

(※詳細については資料1-1)

③ 高度サイバー攻撃のためのリスク評価等の手法の整備

(※「サイバーセキュリティ戦略」(平成25年6月情報セキュリティ政策会議決定)においては、「標的型攻撃等への対処に関するリスク評価手法 の確立等を通じて、政府機関における統一的な仕組みを強化する」こととされている。)

情報セ水準

A省庁 B省庁 C省庁

<統一基準群の効果(イメージ)>

従来の 最低基準 統一基準群が 定める最低基準 各省庁の判断により、統一基準が

定める、より高い水準の対策を実施

水準の 底上げ

(3)

統一基準群の見直しの方向性① : 基礎となる対策の明確化

細分化・肥大化している統一基準の規定を統合・集約化するとともに、個別具体的な 対策事項は別の文書(ガイドライン)に規定することで、基準を明確化する。

【現行の体系】 【新たな体系】

統一規範

運用指針

基づ

統一規範

運用指針 統一基準

府省庁基本方針

準拠

基づ

基づ

手順書・マニュアル群

手順書・マニュアル群 実施手順書

各府省庁における

情報セキュリティポリシー

(※全体構成は各府省庁の判断)

府省庁対策基準策定 のためのガイドライン

府省庁対策基準

参照

共通的対策事項

具体的対策事項

府省庁独自対策事項 対策事項 政策会議

決定

各省協議 決定 選択的適用

基づ

解説・事例 基本原則 目的・趣旨

基づ

統一基準解説書

統一管理基準 統一技術

基準

統一管理 基準

対策事項 対策事項

目的・趣旨 対策事項 解説・事例 統一技術基準

目的・趣旨 対策事項 解説・事例

基づ

3

(4)

統一基準群の見直しの方向性② : 対策の実施メカニズムの見直し

CISOが責任を持って、

方針・目標・資源配分を決定・指示。

対策の 見直し

対策の 実施

自己点検 の実施

Check Check Act

Act

監査 の実施 改善の指示

達成目標の設定

Plan Plan

府省庁内 PDCA サイクル

複数年計画 の作成

基準の策定 計画の策定

Do Do

重点検査の実施

(脆弱性検査含む)

CISOに 年度実施状況を報告

NISCにおいて、PDCAが適切に運営されて いることや、標的型攻撃等の高度サイバー 攻撃のためのリスク評価等に係る、CISOに よる一連の指示・資源配分が適切になされ たこと(プロセス有効性)を確認・評価し、そ の結果をCISO会議に報告する。

各年度における対策の実施状況等を踏まえ、CISOが示す取組方針に従って、達成目 標や複数年計画の見直しを行い、次年度の実施計画に反映する。

各府省庁毎に目標を設定し、その達成に向けた複数年計画を策定し、対策を計画的か つ着実に実施するためのメカニズム(PDCAサイクル)を構築する。

各府省庁内PDCAサイクルの構築

NISCによる確認・評価

(5)

統一基準群の見直しの方向性 :その他 主な見直し事項

5

冗長な表現を排除し、全体構成をシンプル化

“Need to Knowの原則”、“情報のオーナーシップの原則”に基づき、情報の取 扱に係る規定を明確化

省内体制の確立、各省及びNISCとの連携等、障害・事故等への対処に係る規 定を追加

府省庁提供のアプリ・コンテンツにおいて、不用意に利用者情報の収集等を行 わないよう規定を追加

約款による外部の情報処理サービス(SNS,クラウドサービス等)の利用に係る 規定を追加

私物スマートフォン等を業務で使う場合、各省庁の厳格な管理下に置くよう規 定を追加

IT機器・ソフトウェアの調達に当たり、国際規格の活用に係る規定を変更 基準の複雑化・肥大化の解消

技術の進展、環境の変化への対応

(6)

統一基準群の改定スケジュール

4月~8月 9月 10月 11月 12月 1月~3月

政策会議

CISO 連絡会議

新統一基準 改訂作業

新統一基準 確定版 課題の抽出・検討

見直し方針の確定

統一基準 改訂の方向性

新統一基準 検討状況

新統一基準 決定

新統一基準 改訂内容及び

パブコメ結果

統一基準 改訂の方向性

基準・ガイドライン案文の作成

各省協議

パブリック コメント

参照

今ダウンロードする ( PDF - 6 ページ - 435.78 KB )

関連したドキュメント

ドイツ語のコミュニケーション行動における Freundlichkeit について

ところで、ドイツでは、目的が明確に定められている制度的場面において、接触の開始

ネットワーク側で ROP 攻撃コードを検出する手法の提案 田中恭之 1, 2,a) 後藤厚宏 1 Computer Security Symposium October 2014 概要 : ゼロデイ脆弱性を悪用した標的型攻撃は多くの組織にとって脅威である. 一因として一般に入手

攻撃者は安定して攻撃を成功させるためにメモリ空間 の固定領域に配置された ROPgadget コードを用いようとす る.2.4 節で示した ASLR が機能している場合は困難とな

ライフサイエンス分野におけるテキストマイニング技術適用の動向

テキストマイニング は,大量の構 造化されていないテキスト情報を様々な観点から

また適切な音量で音が聞 こえる音響設備を常設設 備として備えている なお、常設設備の効果が適 切に得られない場合、クラ

食品ロスの削減の推進に関する基本的な方針 令和 2 年 3 月 31 日 閣議決定

我が国においては、まだ食べることができる食品が、生産、製造、販売、消費 等の各段階において日常的に廃棄され、大量の食品ロス 1 が発生している。食品

鈴木榮太郎 ﹃都市社会学原理﹄ 結節機関説の導出と青森調査

つの表が報告されているが︑その表題を示すと次のとおりである︒ 森秀雄 ︵北海道大学 ・当時︶によって発表されている ︒そこでは ︑五

QMS 省令 (2021) 本文 変更箇所を下線にて示す QMS 省令 (2021) 本文 内容 QMS 省令 (2021) 本文... 1 第 1 章総則... 6 第 1 条趣旨... 6 第 2 条定義... 6 第 3 条適用の範囲... 8 第 2 章医療機器等の製造管理および品質管理に係

システムであって、当該管理監督のための資源配分がなされ、適切に運用されるものをいう。ただ し、第 82 条において読み替えて準用する第 2 章から第

SEED きょうとのあゆみ 平成 27 年度 事業報告

父親が入会されることも多くなっています。月に 1 回の頻度で、交流会を SEED テラスに