文字サイズ: |
基 準 |
1. 技術基準(電磁的方法による保存をする情報システムの技術面の安全対策)
(1) 情報システムには、個人別のID、パスワード等の利用者登録、管理及び認証機能を設けること。
(2) 情報システムには、データの機密度に応じてアクセス権限を設定する機能を設けること。
(3) 情報システムには、システムへの不正なアクセス及びデータの不正な変更を発見するソフトウェア機能を設けること。
(4) 情報システムのうち、データの保管を行う機器に直接接続されたコンピュータが公衆回線とのオンラインによって接続される場合には、アクセスするユーザー等の正当性を識別し、認証する機能を設けること。
(5) 情報システムには、データの保存及び更新時に、保存及び更新の日時並びに実施者を記録する「ログデータ」の保存機能を設けること。
(6) 情報システムには、データのエラー検出機能を設けること。
(7) 情報システムの主要機器には、停電、誤切断、静電気等によるデータの破壊を防止するため、バックアップ電源等の必要な機能を設けること。
2. 運用基準(電磁的方法による保存をする関係者の遵守事項等人的システムの安全対策)
(1) 室の窓及び出入口の施錠、入退室管理等の適切な防犯措置を講じること。
(2) 情報システムの非使用時には、機能を停止させること。
(3) 情報処理機器及びソフトウェアは、正常作動を確認した上で情報システム上での運用を開始すること。
(4) 外部から入手したソフトウェア、使用済のデータ記録媒体等は、ウイルス検査後に利用すること。
(5) IDを付与された関係者以外の者が、情報システムの操作をしないよう周知徹底する等の措置を講じること。
(6) 情報システムのIDは、複数者で共用しないこと。
(7) 人事異動等で使わなくなったID及びパスワードは、直ちに無効化すること。
(8) 情報システムの保守、点検等を行うに当たっては、バックアップ等当該行為の期間のデータ保護措置を講じること。
(9) データ記録媒体は、データの保存及び更新時に、当該媒体以外にバックアップを行い、当該媒体と異なる保管場所に保管すること。
(10) データ記録媒体及びバックアップは、定期的にデータの健全性の点検を実施すること。
(11) 情報システムの管理には、管理責任者を定めること。
(12) 管理責任者は、以下の項目の管理規定を定め、関係者に周知徹底すること。
・ 防犯措置に関すること。
・ ID及びパスワードの付与及び廃止の管理に関すること。
・ データ記録媒体の使用、保管、搬出入及び授受並びに廃棄の管理に関すること。
・ データの健全性の点検、ログデータの保存その他の管理上必要な事項に関すること。
|