政府機関の情報セキュリティ対策のための統一基準
政府機関(各府省庁)の情報セキュリティ対策については、1)情報セキュリティ水準の高い省庁と低い省庁の格差が大きい、2)急激に変化するIT環境に対応した情報セキュリティ対策を実施する人材が全体的に不足している等の問題が指摘されています。[参考資料]
また、昨今、政府機関へのサービス不能(DoS)攻撃が増加し、国内の企業等においては、重要情報の漏洩問題が相次ぐなど、情報セキュリティ関連の事故が多発している状況にあります。
こうした状況を受けて、まず、平成17年9月15日、情報セキュリティ政策会議第2回会合において、政府機関全体として統一的にとるべき対策のうち、緊急性の高いものについて定めた「政府機関の情報セキュリティのための統一基準(2005年項目限定版)」及びその運用枠組みが決定されました。[参考資料]
次いで、同年12月13日、情報セキュリティ政策会議第3回会合において、システムの開発・整備に関する対策項目などを追加した「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」が決定されました。[参考資料]
さらに、「政府機関の情報セキュリティ対策のための統一基準」については、技術や環境の変化を踏まえ見直しを行うこととされており、平成19年6月14日、情報セキュリティ政策会議第12回会合及び平成20年2月4日、情報セキュリティ政策会議第16回会合および平成21年2月3日、情報セキュリティ政策会議第20回会合において、改訂版が決定されています。[参考資料1] [参考資料2] [参考資料3]
| ○ |
「政府機関の情報セキュリティ対策の強化に関する基本方針」 |
政府が行うべき基本的事項として以下の事項を挙げている。
(1) 政府機関統一基準の策定
(2) 各府省庁での情報セキュリティポリシー等の見直し
(3) 各府省庁での自己点検等
(4) 政府全体でのPDCAサイクルの確立
(5) 情報セキュリティ確保に有効な制度等の活用の促進
(6) 独立行政法人等のセキュリティ対策の改善
(7) 新たな脆弱性等に対するセンターと府省庁との連携
(8) 情報セキュリティ人材の育成の支援・促進
(9) その他、政府全体での中長期的な対策の強化
| ○ |
「政府機関の情報セキュリティ対策における統一基準の策定と運用等に関する指針」 |
統一基準運用指針に示された政府機関統一基準の運用の枠組みは、次に示す3つの取組みを骨格として構成されている。
| (1) |
政府機関統一基準の策定と各府省庁における情報セキュリティポリシーの見直し |
政府機関統一基準を策定し、各府省庁においては、政府機関統一基準に準拠して、自らの情報セキュリティポリシー(省庁ポリシー)の見直しを図り、対策の底上げを図るという取組み |
| (2) |
対策実施手順書の整備の支援(各府省庁に対する草の根支援) |
省庁ポリシーを反映した多数の実施手順書等を各府省庁が作成するうえで、手引き又は参考となるガイドライン群をセンターが作成し、各府省庁の利用に供するという取組み |
| (3) |
対策実施状況の確認と評価に基づくPDCAサイクルの確立 |
各府省庁自らが行う自己点検・自主検査、第3者の視点でセンターが行う検査と評価、当該評価結果をもとに情報セキュリティ政策会議が行う勧告、これらを受けて政府機関統一基準と省庁ポリシーを見直すというPDCAサイクルの取組み |
| ○ |
「政府機関の情報セキュリティ対策のための統一基準(第4版)」 |
各府省庁の情報セキュリティ対策内容の整合化・共通化を促進するために、各府省庁がとるべき情報セキュリティ対策を定めたもの。基準の構成は以下の通り。
第1編 基本編
第1.1部 総則
第1.2部 組織と体制の整備
第1.3部 情報についての対策
第1.4部 情報処理についての対策
第1.5部 情報システムについての基本的な対策
第2編 情報システム編
第2.1部 情報セキュリティ要件の明確化に基づく対策
第2.2部 情報システムの構成要素についての対策
第2.3部 個別事項についての対策
「政府機関の情報セキュリティ対策のための統一基準(第4版)」
| 〈本基準の理解を助けるための参考資料〉 |
- 「政府機関の情報セキュリティ対策のための統一基準(第4版)」解説書
- 「政府機関の情報セキュリティ対策のための統一基準(第4版)」改訂の概要について(要約版)
- 「政府機関の情報セキュリティ対策のための統一基準(第4版)」改訂の概要について
- 「政府機関の情報セキュリティ対策のための統一基準(第4版)」と旧版(第3版)の項番対応表
- 「政府機関の情報セキュリティ対策のための統一基準(第4版)」と旧版(第3版)の遵守事項対応表
- 「政府機関の情報セキュリティ対策のための統一基準(第4版)」と旧版(第3版)の新旧対照表
|
政府機関統一基準適用個別マニュアル群とは、各府省庁が「政府機関の情報セキュリティ対策のための統一基準」に基づき策定した省庁基準を、実際に適用する際に対策を円滑に実施するための文書(実施手順、規程及びマニュアル等)を作成する際の参考資料として作成したものです(一覧はこちら)。
なお、現在掲示中のマニュアル群は、「政府機関の情報セキュリティ対策のための統一基準(第3版)」に適用するものである。
[参考資料]
- 情報セキュリティ基本問題委員会第1次提言
- 各府省庁の情報システム及びその運用に関する安全基準の策定に係る基本方針について(平成16年7月26日情報セキュリティ対策推進会議幹事会)
- 各府省庁の情報セキュリティ対策の評価に係る基本方針について(平成16年7月26日情報セキュリティ対策推進会議幹事会)
- 情報セキュリティポリシーに関するガイドライン(平成12年7月18日情報セキュリティ対策推進会議決定、平成17年9月廃止)
- 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」
- 「政府機関の情報セキュリティ対策のための統一基準(2005年項目限定版)」解説資料
- 「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」
- 「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」解説書
- 「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」の遵守事項一覧表(MS-Excel形式)
- 政府機関統一基準の説明資料(2006年8月2日)
- 「政府機関の情報セキュリティ対策のための統一基準(第2版)」
- 「政府機関の情報セキュリティ対策のための統一基準(第2版)」解説書
- 「政府機関の情報セキュリティ対策のための統一基準(第2版)」の遵守事項一覧表(MS-Excel形式)
- 「政府機関の情報セキュリティ対策のための統一基準(第3版)」
- 「政府機関の情報セキュリティ対策のための統一基準(第3版)」解説書
- 「政府機関の情報セキュリティ対策のための統一基準(第3版)」の遵守事項一覧表(MS-Excel形式)
| 
