第3節 情報セキュリティ策定上の留意項目
これまで、セキュリティ対策の策定にかかわる留意点をあげてきたが、ここでは特に、従来のセキュリティ対策に必要とされてきた留意項目のほか、昨今のオープン化環境におけるセキュリティ対策を念頭において整理するものである。本節第3項の留意項目リストの各項目は、ヒアリング調査などで入手した情報と、これまでに国内外で公表されている情報セキュリティにかかわる対策基準等を参考にし、BS7799(英国における情報セキュリティ管理対策を対象とした基準。一時ISO化も検討された)における管理基準も参考に整理した。セキュリティ対策を、人、モノ、流れの側面から分類した上で、検討すべき留意項目を1]組織、2]ネットワーク管理者、3]ユーザ、4]情報資産、5]媒体・装置、6]ウイルス、7]電子メール、8]アクセス制御、9]監視、10]モバイル、11]監査の11の対策分野についてまとめたものである。これらの留意項目に添って取り決められた事項については、組織全体として一貫性のあるセキュリティ方針書などの文書体系の中で明文化されるべきものであるので、関連すると思われる文書についても整理した。
1 セキュリティ方針の文書化
(1)セキュリティ方針と明文化
全庁的な取り組みとするために、首長を巻き込んだ情報セキュリティに対する目的・原則などの方針部分の策定作業を開始する。セキュリティ方針書は、首長の長期的ビジョンを反映し、情報セキュリティに対する基本的な姿勢を示すものである。セキュリティ方針書にかかわる対策用の主な項目は以下のようになると思われる。
・セキュリティ方針が明文化されている
・首長によって承認され、発行されている
・職員全員にその存在を知らされている
・監査(レビュー)の責任者と範囲を明記する
・リスク・アセスメントの結果に変化があった場合は監査を行う
・セキュリティ方針書が有効か否か、定期的に監査を実施する
・条例などに従い、個人情報を保護する対策を策定している
・セキュリティ方針の中に以下の内容が含まれている
情報セキュリティの定義、その全般的な目的及び適用範囲
情報セキュリティの目的及び原則を支持する首長のメッセージ
法的事項などへの準拠、セキュリティ教育要求事項、違反時の処理
