情報セキュリティ対策

情報セキュリティポリシーに関するガイドラインの概要

平成12年7月
内閣安全保障・危機管理室
情報セキュリティ対策推進室


1.情報セキュリティポリシーに関するガイドライン

 各省庁の情報システムにおけるセキュリティ対策をとりまとめる情報セキュリティポリシー策定のためのガイドラインであり、政府のセキュリティ対策の基本的な考え方、ポリシー策定の手順を示したガイドライン及び各省庁の情報システムにおける必須対策をとりまとめたポリシーの例等の付録から構成される。

2.情報セキュリティポリシーの概要

 このガイドラインに従い策定される情報セキュリティポリシーの主な概要は次のとおり。

(1) 策定〜導入〜運用〜評価・見直しを繰り返し高いセキュリティ水準を実現
 高いセキュリティ水準を確保するためには、単にポリシーを策定するだけではなく、適切な導入及び継続的な運用を行い、更には評価・見直しを繰り返し、ポリシーを発展させていく。

(2) 最高情報セキュリティ責任者及び情報セキュリティ対策委員会の設置により情報セキュリティ確保のための体制を確立
 情報セキュリティについて、組織幹部の関与を明確にするとともに、関係者の責任の所在を明確にするため、情報セキュリティに関する最高責任者を定め、その下に情報セキュリティ委員会を設ける。

(3) 情報セキュリティ確保に必要な対策について、物理的セキュリティ、人的セキュリティ、技術的セキュリティ、運用の観点から包括的な対策を実施

@ 物理的セキュリティ 施設・設備を保護する出入り管理等
A 人的セキュリティ 職員に対する教育・訓練、パスワード管理等
B 技術的セキュリティ ネットワーク管理、ウィルス対策等
C 運用 システムの監視、緊急時対応計画の策定

(4) ポリシーに定められた情報セキュリティ対策の実施を徹底するため、各々の部局において実施手順を策定
 ポリシーに定められた情報セキュリティ対策の実施に必要な手順については、実施手順として文書化して定める。

3.今後の予定

 各省庁においては、このガイドラインを踏まえ、平成12年12月までに情報セキュリティポリシーを策定する。
 ポリシーの例については、セキュリティ対策WG委員及び各省庁の意見を踏まえ、内閣情報セキュリティ対策推進室において策定する。