情報セキュリティマネジメントシステムの構築

法令対応や電子自治体の進展に伴い、各種手続きのオンライン利用の本格化や情報システム及びデータ連携の高度化が進んできております。従って、情報システムのインシデントや障害のみならず、情報セキュリティ事故が起きた場合は広範囲の業務継続に影響が及び、住民や地域の経済社会活動にも重大な支障が生じる可能性が高まります。

これらの事情から、すべての地方公共団体において、情報セキュリティの実効性を高めるとともに対策レベルを一層強化していくことが「社会保障と税番号制度」導入に伴い必須の要件になってきたと言えることでしょう。

また、情報セキュリティ対策は、個人情報保護対策や可用性という観点からはITに係るBCP(業務継続計画)とも関連するため、互いに連携をとった対応が必要になります。

「行政手続等における情報通信の技術の利用に関する法律」や「サイバーセキュリティ基本法」では、地方公共団体は情報セキュリティポリシーの策定や見直しを行うことが求められており、「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体編)」においては、当ガイドラインが示す安全管理措置等を遵守しなければ法令違反になり得ることが明記されています。

情報セキュリティリスクは、情報システムやハードウェア及びネットワークの構成等と密接に関係するため、実効性のある情報セキュリティ対策を行うには、一般的な安全管理措置を行うだけではなく、PDCAサイクルに基づくマネジメントシステムの構築が必要です。そして、このサイクルを外部環境や情報セキュリティ技術、脅威と脆弱性などの変化に応じて繰り返し、スパイラルアップを図ることが重要なのです。

情報セキュリティマネジメントシステム

pic_pdca.png

弊社のご支援内容
  • 特定個人情報の範囲特定、個人情報を含む重要情報の棚卸
  • 重要情報に関するリスク分析
  • 情報セキュリティマネジメントシステムの構築
  • 情報セキュリティポリシーの策定
  • ポリシーに従ったセキュリティ運用
  • セキュリティに関するインシデント・事故対応
  • 点検、内部監査の体制構築と実施、外部監査実施
  • 是正措置対応、ポリシーの見直し
  • 職員向け研修会