政府機関等の情報セキュリティ対策のための

(1)

平成

28

年１月内閣官房

内閣サイバーセキュリティセンター

資料３

政府機関等の情報セキュリティ対策のための

統一基準群の見直しについて（案）

(2)

サイバーセキュリティ基本法の制定に伴う改定：統一基準群の位置づけ

サイバーセキュリティ基本法（現行）

第二十五条サイバーセキュリティ戦略本部は、次に掲げる事務をつかさどる。

（略）

二国の行政機関及び独立行政法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価（監査を含む。）その他の当該基準に基づく施策の実施の推進に関すること。

図サイバーセキュリティ基本法と統一基準群及び情報セキュリティポリシーの関係

「政府機関等の情報セキュリティ対策のための統一基準群」を、基本法に基づく国の行政機関及び独立行政法人等におけるサイバーセキュリティに関する対策の基準と位置づける。

統一規範

※１政府機関の情報セキュリティ対策のための統一規範

※２政府機関の情報セキュリティ対策のための統一基準

※３政府機関等の情報セキュリティ対策の運用等に関する指針

※４府省庁対策基準策定のためのガイドライン

準拠参照運用指針

統一基準統一基準群

※３ ※1

※２

サイバーセキュリティ基本法

府省庁基本方針府省庁対策基準

府省庁

情報セキュリティポリシー

ガイドライン

^※4

独立行政法人等の情報セキュリティポリシー

対策基準等参照

参照細則

解説

政府機関及び独立行政法人等の情報セキュリティ対策の策定、運用方法等を規定

黄色枠は政府機関のみ規定

（現行統一基準と同様）

１

(3)

政府機関等の情報セキュリティ対策のための

平成

年１月内閣官房

内閣サイバーセキュリティセンター

資料３

政府機関等の情報セキュリティ対策のための

統一基準群の見直しについて（案）

サイバーセキュリティ基本法の制定に伴う改定：統一基準群の位置づけ

サイバーセキュリティ基本法（現行）

第二十五条サイバーセキュリティ戦略本部は、次に掲げる事務をつかさどる。

（略）

二国の行政機関及び独立行政法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価（監査を含む。）その他の当該基準に基づく施策の実施の推進に関すること。

図サイバーセキュリティ基本法と統一基準群及び情報セキュリティポリシーの関係

「政府機関等の情報セキュリティ対策のための統一基準群」を、基本法に基づく国の行政機関及び独立行政法人等におけるサイバーセキュリティに関する対策の基準と位置づける。

統一規範

準拠参照運用指針

統一基準統一基準群

サイバーセキュリティ基本法

府省庁基本方針府省庁対策基準

府省庁

情報セキュリティポリシー

ガイドライン

独立行政法人等の情報セキュリティポリシー

対策基準等参照

参照細則

解説

１

統一基準群の改定概要

所管府省庁の助言等の下、情報セキュリティ対策が適切に講じられるよう、統一基準群の適用対象範囲を独立行政法人等へ拡大する。

独立行政法人等への適用対象範囲の拡大

例：インターネット接続口の集約、重要な情報を扱う部分のインターネットからの分離

例：クラウドサービスの利用時やデータベースの構築運用、アプリケーションコンテンツの提供等に特有のセキュリティ対策の整理

例：戦略本部による監査実施を、情報セキュリティマネジメントシステムの一部を構成するものと位置づけ例：インシデント発生時の連絡体制の整備等の情報セキュリティ対策の策定

監査に係る規定を整備し、政府機関及び独立行政法人等の情報セキュリティ・マネジメントシステム（PDCAサイクル）を強化する。

監査に係る規定の整備

日本年金機構の情報流出事案等を踏まえ、サイバー攻撃を前提とした防御力の強化・多層的な対策の推進を目的とした対策事項を規定する。

サイバー攻撃を前提とした防御力の強化・多層的対策

新たなIT製品・サービスの普及等に伴う対策の強化として、クラウドサービス利用時の対策事項等を規定する。

新たなIT製品・サービスの普及等に伴う対策の強化

２

政府機関等の情報セキュリティ対策のための

平成

年１月 内閣官房

内閣サイバーセキュリティセンター

資料３

政府機関等の情報セキュリティ対策のための

統一基準群の見直しについて（案）

サイバーセキュリティ基本法の制定に伴う改定：統一基準群の位置づけ

サイバーセキュリティ基本法（現行）

第二十五条 サイバーセキュリティ戦略本部は、次に掲げる事務をつかさどる。

（略）

二 国の行政機関及び独立行政法人におけるサイバーセキュリティに関する対策の基準の作成及び当該 基準に基づく施策の評価（監査を含む。）その他の当該基準に基づく施策の実施の推進に関すること。

図 サイバーセキュリティ基本法と統一基準群及び情報セキュリティポリシーの関係

「政府機関等の情報セキュリティ対策のための統一基準群」を、基本法に基づく国の行政機関 及び独立行政法人等におけるサイバーセキュリティに関する対策の基準と位置づける。

統一規範

準拠 参照 運用指針

統一基準 統一基準群

サイバーセキュリティ基本法

府省庁基本方針 府省庁対策基準

府省庁

情報セキュリティポリシー

ガイドライン

独立行政法人等の 情報セキュリティポリシー

対策基準等 参照

参照 細則

解説

１

統一基準群の改定概要

所管府省庁の助言等の下、情報セキュリティ対策が適切に講じられるよう、統一基準群の適 用対象範囲を独立行政法人等へ拡大する。

独立行政法人等への適用対象範囲の拡大

例： インターネット接続口の集約、重要な情報を扱う部分のインターネットからの分離

例： クラウドサービスの利用時やデータベースの構築運用、アプリケーションコンテンツの提供等に 特有のセキュリティ対策の整理

例： 戦略本部による監査実施を、情報セキュリティマネジメントシステムの一部を構成するものと位置づけ 例： インシデント発生時の連絡体制の整備等の情報セキュリティ対策の策定

監査に係る規定を整備し、政府機関及び独立行政法人等の情報セキュリティ・マネジメントシ ステム（PDCAサイクル）を強化する。

監査に係る規定の整備

日本年金機構の情報流出事案等を踏まえ、サイバー攻撃を前提とした防御力の強化・多層 的な対策の推進を目的とした対策事項を規定する。

サイバー攻撃を前提とした防御力の強化・多層的対策

新たなIT製品・サービスの普及等に伴う対策の強化として、クラウドサービス利用時の対策事 項等を規定する。

新たなIT製品・サービスの普及等に伴う対策の強化

２

年１月内閣官房

第二十五条サイバーセキュリティ戦略本部は、次に掲げる事務をつかさどる。

二国の行政機関及び独立行政法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価（監査を含む。）その他の当該基準に基づく施策の実施の推進に関すること。

図サイバーセキュリティ基本法と統一基準群及び情報セキュリティポリシーの関係

「政府機関等の情報セキュリティ対策のための統一基準群」を、基本法に基づく国の行政機関及び独立行政法人等におけるサイバーセキュリティに関する対策の基準と位置づける。

準拠参照運用指針

統一基準統一基準群

府省庁基本方針府省庁対策基準

独立行政法人等の情報セキュリティポリシー

対策基準等参照

参照細則

所管府省庁の助言等の下、情報セキュリティ対策が適切に講じられるよう、統一基準群の適用対象範囲を独立行政法人等へ拡大する。

例：インターネット接続口の集約、重要な情報を扱う部分のインターネットからの分離

例：クラウドサービスの利用時やデータベースの構築運用、アプリケーションコンテンツの提供等に特有のセキュリティ対策の整理

例：戦略本部による監査実施を、情報セキュリティマネジメントシステムの一部を構成するものと位置づけ例：インシデント発生時の連絡体制の整備等の情報セキュリティ対策の策定

監査に係る規定を整備し、政府機関及び独立行政法人等の情報セキュリティ・マネジメントシステム（PDCAサイクル）を強化する。

日本年金機構の情報流出事案等を踏まえ、サイバー攻撃を前提とした防御力の強化・多層的な対策の推進を目的とした対策事項を規定する。

新たなIT製品・サービスの普及等に伴う対策の強化として、クラウドサービス利用時の対策事項等を規定する。