トップページへ 広報誌 ネット&ライン>No.100 最新号 バックナンバー

広報誌 ネット&ライン No.100 2003 春号
もどる

ITポータルサイト
センターにおける情報セキュリティマネジメント
システム(ISMS)認証取得に向けた取組
財団法人岐阜県市町村行政情報センターシステム研究室


はじめに
 センターは、県内市町村の行政事務情報化の推進を目的に情報システムの開発、提供及び情報処理を行っていますが、特に住民の個人情報を取り扱うことから、これまでにおいても情報セキュリティの重要性を認識し、適切かつ効果的に情報を管理してきました。
 今日的には、ITの飛躍的な進歩やインターネットの急激な普及により、不正アクセスや情報漏洩の事件が多数発生し、更には、14年8月5日の住民基本台帳ネットワークの運用開始により情報セキュリティに対する関心の高まりと同時に、新たな脅威への即応的な対策が必要になっています。
 今回は、こうした状況下における情報セキュリティ対策を一層強化するため、平成14年度から情報セキュリティマネジメントシステム(ISMS)認証取得に向けた取組を行っていますので、センターにおける取組の概要について御紹介します。

取組の経緯
 これまでセンターでは、機密保護規程、情報処理データ保護管理取扱要領、電子計算機室入室運営要綱など体制、規程等の整備のほか、ツールによる管理策としてファイアウォールの設置やウイルス対策ソフトの導入などを実施してきました。
 今後、さらに組織的かつ体系的なセキュリティ対策を講じるためISMS適合性評価制度の認証を取得し、センターが市町村から預かり、保管しているデータ及びセンターが保有するすべての情報資産を正しく運用管理し、一層のセキュリティを確保・維持することとしました。
 ISMS適合性評価制度の認証取得の取組は、体系化された情報セキュリティマネジメントシステムを適用することにより、センターがどの程度情報セキュリティを考慮しているかを網羅的に確認できることでもあります。

情報セキュリティ推進委員会の設置
 情報セキュリティ基本方針並びに全体的な責任の見直し及び承認、情報セキュリティに関する事件及び事故の監視、情報セキュリティを強化するための対策の承認を行うなどの中心的な役割を果たす横断的な組織として、センター事務局内に情報セキュリティ推進委員会を14年11月1日に設置しました。

ITセキュリティ診断
 14年11月にホスト系、Windows系及び公開サーバのネットワークにおいて、情報資産に脅威をもたらす脆弱性が存在するか否かを、診断ツールによりサーバやクライアントへのスキャン、ネットワーク上のパケットの取得、パスワード解析等を実施し、併せて運用担当者へのインタビューによる運用状況を確認する方法で診断しました。
 その結果、発見された問題点については、その対策を講じるとともに運用については情報セキュリティマニュアル及び管理要領に盛り込むこととしました。

リスクアセスメント
 14年11月に認証取得範囲の業務プロセスのヒアリング及び情報資産を4段階の価値評価レベルに洗い出し、洗い出された情報資産に係る脅威レベルを5段階、脆弱性レベルを5段階で評価し、ITセキュリティ診断結果も含めリスク評価を行っています。

ISMS関連規程の整備
 ITセキュリティ診断の結果やリスクアセスメントを参考に、本所、飛騨事務所及び東濃事務所の係長クラスを対象に、数回にわたり情報セキュリティマニュアル、各管理要領及び管理実施事例のレビューを実施し、既存規程類との整合性をとりながら課題をまとめ、情報セキュリティマニュアル及び各管理要領について整備をしました。

作成した管理要領
 ・リスクマネジメント要領
 ・文書管理要領
 ・記録管理要領
 ・マネジメントレビュー要領
 ・要員管理要領
 ・施設管理要領
 ・アクセス管理要領
 ・不正アクセス管理要領
 ・ネットワーク管理要領
 ・事業継続管理要領
 ・情報システム運用管理要領
 ・情報資産管理要領
 ・内部セキュリティ監査要領
 ・セキュリティ問題管理要領
 ・是正処置管理要領
 ・予防処置管理要領

15年度の取組の計画
ISMS導入フェーズ(4〜6月)
 3月までに構築したISMS関連規程を基に管理手順の評価と教育訓練を行い、新たに実施する運用点検項目を各部署で分担して試行運用をします。その結果によって情報セキュリティマニュアル及び管理要領の強化を図ることとしています。
 また、経済産業省システム監査技術者試験認定者で内部監査チームを編成し、このチームが中心となりセキュリティ監査教育研修を行い、内部でのセキュリティ監査が可能な体制を整えます。
 運用前の6月下旬には、職員及び派遣要員全員の管理要領研修を実施し、7月からの運用に臨みます。
 並行して入退室管理の強化、イントラネットの再構築など、物理的及び技術的セキュリティ対策を実施します。

運用・改善フェーズ(7月〜)
 7月からISMSの運用を開始します。
 通常行われている管理に加え、今回作成した管理要領に沿った各管理者による運用自己点検を実施します。さらに、その運用状況について内部セキュリティ監査を実施します。
 8月には審査登録機関による予備審査も実施し、予備審査及び内部セキュリティ監査の結果を踏まえて、情報セキュリティマニュアル及び各管理要領の改訂を行います。
 このほか、事後対策に関する計画をあらかじめ策定し、災害などが発生した場合には、あらかじめ計画した措置を実施する事業継続管理、あるいは監査結果、セキュリティ事故、ITセキュリティ診断結果、規格及び法規制の変化等を調査分析し、改善の必要性があるものについては、その対応案などを総括し、情報セキュリティマネジメントシステムの適切性、妥当性及び有効性についてマネジメントレビューを実施することとしています。

本審査(9月後半〜11月)
 7月から開始する日常運用、内部セキュリティ監査、事業継続テスト、マネジメントレビュー等を含む運用実績に対し、文書審査(9月下旬予定)及び実地審査(10月下旬予定)を受けます。ここで不適合を指摘された場合には、是正計画を提出し内容が適正であれば認証取得となります。
 認証・登録後は、ISMSが適切に運用されているか否かについての定期的な継続審査と、3年に1度の更新審査を受けます。
ISMS認証取得スケジュール


おわりに
 ISMSの認証・登録そのものは、情報セキュリティマネジメントシステムの構築・運用での一里塚であり、目的ではありません。しかし、認証・登録後も認証を維持するには、定期的に継続審査をクリアしなければならないことから、ISMSの継続的な実施の後押しとなると考えています。
 このことによりPlan(計画)、Do(実行)、Check(監査)及びAct(見直し)のPDCAサイクルを循環的かつ継続的に実施することで、時代の変化に対応した情報セキュリティマネジメントシステムを維持し、情報セキュリティレベルの向上に取り組んでまいります。