Web教材一覧法規・基準

情報システム安全対策基準(経済産業省)

キーワード

情報システム安全対策基準、設置基準、技術基準、運用基準


経済産業省は「情報システム安全対策基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf)を策定しています。

その内容は、
「情報システムの機密性、保全性及び可用性を確保することを目的として、(←CIA)
自然災害、機器の障害、故意・過失等のリスクを(←脅威の区分)
未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るため、(←対処)
情報システムの利用者が実施する対策項目を列挙」
したものです。

本基準は、設置基準、技術基準及び運用基準から構成されています。

設置基準(100項目)
情報システム、関連設備、防災設備及び防犯設備を火災、地震等の自然災害、構成要素の障害、不法侵入者による破壊行為等の危険から物理的に保護するための設備及び機器の設置環境面の対策
 対象を、建物、コンピュータ室、事務室、データ等保管室、端末スペース、関連設備に区分して、
 対策項目を、設置環境、電源設備、空気調和設備、監視設備、地震対策に区分して列挙しています。
技術基準(26項目)
情報システムの具備すべき機能を、円滑かつ安全に発揮するためのハードウェア及びソフトウェアによる技術面の対策
 対象を、不特定利用者、特定企業内利用者、特定部門内利用者に区分して、
 対策項目を、情報技術の適用、災害・障害対策機能、故意・過失対策機能、監査機能に区分して列挙しています。
運用基準(66項目)
設置基準、技術基準で示すそれぞれの対策の適切な適用を図り、情報システム等の安全性及び信頼性の確保を図るための運用面の対策
 対象を、不特定利用者、特定企業内利用者、特定部門内利用者に区分して、
 対策項目を、計画、情報システムの運用、データ等及び記録媒体の保管及び使用、入退館及び入退室、関連設備・防災設備及び防犯設備、要員、外部委託、システム監査に区分して列挙しています。

情報システム安全対策基準では、情報システムを、重要度により3区分しています。
   A 人命、他人の財産、プライバシー等社会に影響を与える情報システム
   B 企業への影響の大きい情報システム
   C 企業への影響の小さい情報システム
そして、個々の個別対策項目について、次のように示しています。
   ☆ Aに限定して必要な対策
   ○ A、Bに必要な対策
   ◎ A、B、C全てに必要な対策
  - 適用除外

たとえば、次のような記述になっています。
 設置基準

 技術基準


本シリーズの目次へ