また、内部あるいは外部による監査、レビューを適宜実施し、現状の業務システム環境に適合したセキュリティ対策も、また適宜見直していく必要がある。外部による監査は、客観的な評価を受けることができるため、非常に有用であると思われる。
2 セキュリティ対策への取り組みに当たってのポイント
(1)セキュリティ対策に応じた組織体制
セキュリティ対策への取り組みは、全庁的になされるべきであり、首長をはじめとする多くの関係部署が、それぞれの立場でこの取り組みに参加していくことが重要である。情報セキュリティに関する上位のセキュリティ方針等の策定については、セキュリティ対策委員会(仮称)で、また、ユーザや担当者レベルで厳守すべきガイドラインや手順などについては、管理担当者レベルで構成される作業部会(仮称)で検討されることが望ましい。
(2)セキュリティ方針書(セキュリティ・ポリシー)
セキュリティ方針書とは、安全で効率的な情報の流通を確保するために、組織が守るべき情報資産や信用が遵守されるべきことを規定したルールであり、組織の情報セキュリティに関する運営方針になるものである。この方針書は、一連のセキュリティ対策を一貫したものにするためにも重要な役割を果たすものである。セキュリティ方針書は目的・原則・方針などから構成されることが多い。
(3)セキュリティ監査
各地方公共団体の情報セキュリティ対策の管理ポイントは有効か、リスク・アセスメントが適切に行われているか、また、各管理者やユーザは各々の行動の中で正しく行動しているかなどの監査ポイントについても、セキュリティ方針を策定する際に、その方針レベルから手順レベルに至る評価項目を明確にしておく必要がある。さらに、セキュリティ監査については、当初想定したリスクが与える影響が変わっていったり、みずからが気づかない部分にセキュリティヘの脆弱性が存在する可能性があるため、専門家による外部監査は有効である。
