HOME > U+(ユープラス) > 電子自治体の行政情報化ニュース > 自治体IT革命の今日、明日 第218回 「情報セキュリティ *ポリシーと監査* ガイドライン、その1『情報セキュリティ監査ガイドライン』」

U+(ユープラス)

U+のTOPへ

電子自治体の行政情報化ニュース

コラムニストの一覧に戻る

自治体IT革命の今日、明日
第218回 「情報セキュリティ *ポリシーと監査* ガイドライン、その1『情報セキュリティ監査ガイドライン』」

2018/11/12

 七日は24節気の「立冬」でした。この日から立春の前日までが暦の上では冬となります。木枯らしが吹き、冬の訪れを感じる頃です。

 今回からは、 9月25日に公表された「地方公共団体における情報セキュリティポリシー及び情報セキュリティ監査ガイドライン」について、何回かに分けてお話を進めます。今回は情報セキュリティ監査ガイドラインについて。

http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000073.html

〇目的
 情報セキュリティ対策全般の実効性を確保するとともに、情報セキュリティポリシーの見直しを行うことが重要であるが、そのための有効な手法となるのが「情報セキュリティ監査」 である。

〇策定の経緯
1.初版
 平成13年 3月(2001年03月):
 「地方公共団体における情報セキュリティポリシーに関するガイドライン」
 平成15年12月(2003年12月):
 「地方公共団体における情報セキュリティ監査に関するガイドライン」

2.第2版
 平成18年 9月(2006年09月):
  ポリシーガイドライン
 平成19年 7月(2007年07月):
  監査ガイドライン
を全部改定。
 平成18年 2月(2006年02月)に政府の情報セキュリティ政策会議は「第1次情報セキュリテ基本計画」を決定し、地方公共団体向けの重点施策として、地方公共団体における情報セキュリティ確保に係るガイドラインの見直しや情報セキュリティ監査実施の推進が掲げられた。

3.第3版
 平成22年11月(2010年11月):
  ポリシーガイドライン
  監査ガイドライン
を一部改定。
1.平成21年 2月に情報セキュリティ政策会議によって「第2次情報セキュリティ基本計画」が決定され、地方公共団体に関して、小規模な地方公共団体も含め、全ての地方公共団体において、望ましい情報セキュリティ対策が実施されることを目指し、対策の促進を行うこととされた。
2.平成22年 5月に情報セキュリティ政策会議によって「国民を守る情報セキュリティ戦略」及び「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針(第3版)」が決定された。
3.平成22年 7月に「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針対策編」が策定された。

4.第4版
 平成27年 3月27日(2015年03月):
  ポリシーガイドライン
  監査ガイドライン
の一部改定。
1.平成25年 6月に政府のIT総合戦略本部が策定した「世界最先端IT国家創造宣言」(平成25年 6月14日閣議決定、平成26年 6月24日改定)
2.平成25年 5月24日に成立し、平成25年 5月31日に公布された「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)」
3.平成26年11月 6日に成立し、平成26年11月12日に公布された「サイバーセキュリティ基本法」
等の新たに成立した法令等を踏まえる。

5.第5版
 平成30年09月(2030年09月25日):、
  ポリシーガイドライン、
  監査ガイドライン
を改定。
 http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000073.html

1.「新たな自治体情報セキュリティ対策の抜本的強化について(平成27年12月25日総行情第77号総務大臣通知)にて、地方公共団体でのセキュリティ対策の抜本的強化への取り組みが示された。
2.政府機関の情報セキュリティ対策のための統一基準、自治体情報セキュリティ対策検討チーム報告等を踏まえて、地方公共団体の情報セキュリティ水準の向上及び情報セキュリティ対策の抜本的強化が実施された。

〇意義と種類
 1.情報セキュリティ監査の意義
 2.自己点検と内部監査と外部監査
 外部監査の形態には、
  3.助言型監査と保証型監査
 情報セキュリティ監査では、
  4.準拠性監査と妥当性監査

〇監査ガイドラインとポリシーガイドラインの関係
1.監査ガイドラインの情報セキュリティ監査項目は、ポリシーガイドラインにおける対策基準に即して構成している。
2.ポリシーガイドラインを参考にして、情報セキュリティポリシー(情報セキュリティ基本方針及び情報セキュリティ対策基準)や実施手順書を策定して、情報セキュリティ対策を実施している。
3.情報セキュリティ監査は、情報セキュリティポリシーの実施状況を点検・評価するものであり、監査ガイドラインを参考にして、情報セキュリティ監査を実施する。
4.監査項目の設定においては、当該団体の情報セキュリティポリシーを踏まえて、監査テーマに応じた監査項目を情報セキュリティ監査項目から抽出することで、各地方公共団体が策定している情報セキュリティポリシーの内容と情報セキュリティ監査項目の対応付けや読み替えなどの工数を削減することができるようになっている。
5.監査実施においては、必要に応じて「JISQ 27002」なども参考にするとよい。

<参照>
情報セキュリティ監査ガイドライン(平成30年09月版)
 http://www.soumu.go.jp/main_content/000575053.pdf
 第1章 総則 1.4 本ガイドラインとポリシーガイドラインの関係
 (page7 図表1.2)

平成30年11月08日

上記のコラム購読のご希望の方は、右記の登録ボタンよりお申込みください。

登録はこちらから

コラムに関するご意見・ご感想はこちらまで