その他令和7年8月29日

情報セキュリティ管理基準(ガバナンス及び運用管理策)

掲載日
令和7年8月29日
号種
号外
原文ページ
p.98
出典:官報発行サイト(内閣府)の掲載情報をもとに整理しています。重要な確認は公式原文を基準にしてください。
原文確認推奨
抽出テキストだけで判断せず、必要に応じて原文画像または PDF で確認してください。

本文と原文の対照

まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。

← 同日の官報に戻る
原文対照の表示オプション

情報セキュリティ管理基準(ガバナンス及び運用管理策)

令和7年8月29日|p.98

左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。

公式原文あり本文テキスト画像照合可誤りを報告
(告号 19115号
号月11月 日 日 日本日
8b-8.10情報の削除
8b-8.11データマスキング
8b-8.12データ漏えい防止
8b-8.13情報のバックアップ
8b-8.14情報処理施設・設備の冗長性
8b-8.15ログ取得
8b-8.16監視活動
8b-8.17クロックの同期
8b-8.18特権的なユーティリティプログラムの使用
8b-8.19運用システムへのソフトウェアの導入
8c情報システムの適正利用の管理
8c-8.20ネットワークセキュリティ
8c-8.21ネットワークサービスのセキュリティ
8c-8,22ネットワークの分離
8c-8.23ウェブフィルタリング
8c-8.24暗号の利用
8d情報システム開発/導入の管理
8d-8.25セキュリティに配慮した開発のライフサイクル
8d-8.26アプリケーションセキュリティの要求事項
8t-8.27セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
8d-8.28セキュリティに配慮したコーディング
8d-8.29開発及び受入れにおけるセキュリティテスト
8d-8.30外部委託による開発
8d-8.31開発環境、テスト環境及び本番環境の分離
8d-8.32変更管理
8d-8.33テスト用情報
8d-8.34監査におけるテスト中の情報システムの保護
.ガバナンス基準
ガバナンス基準は、組織体のガバナンスのうち、情報セキュリティガバナンスを確立するための
目的及びプロセスについて示すものである。
3.1情報セキュリティガバナンスの概要
情報セキュリティガバナンスでは、組織体における複数のガバナンスの領域のうち、組織体
の情報セキュリティ確保の達成に関するガバナンスを扱う。情報セキュリティに関するガバナ
ンスモデルの策定にあたっては、情報技術等の他のガバナンスの領域とのモデルの対象範囲の
重複の可能性があり、コーポレートガバナンスの観点からそれぞれの整合についての考慮が求
められる。
ガバナンス主体は、組織体内に情報セキュリティマネジメントシステムを構築する。情報セ
キュリティマネジメントシステムの目的は、組織のサイズ、スケール及び構造により異なる可
能性があり、それらを整合させるようにする。
なお、本管理基準の『マネジメント基準」に示す管理策にも、情報セキュリティマネジ
メントシステムにおけるガバナンスに対応する内容が含まれている。
3.2情報セキュリティガバナンスの目的[27014-7.2]
ガパナンス主体は,以下に示す目的に照らして適切であるような、組織体における情報セキュ
リティガバナンスの目的を設定する。
目的1:組織体全体の統合された包括的情報セキュリティを確立する
目的2:リスクに基づく取組を採用して意思決定を行う
目的3:投資の方向性を決定する
目的4:内部及び外部の要求事項との適合性を確実にする
目的5:セキュリティに積極的な文化を醸成する
目的6:セキュリティのバフォーマンスが現在及び将来の組織体の要求事項を満たすことを
確実にする
3.3情報セキュリティガバナンスのプロセス「27014-7.3
3.3.1概要
情報セキュリティガバナンスは、評価、指示、モニタ及びコミュニケーションの各プロ
セスで構成される。次項以降において、各プロセスにおいて、ガバナンス主体及び各情報
セキュリティマネジメントシステムの責任者が実行する内容を示す。
3.3.2評価
3.3.2.1ガバナンス主体は、以下を実行する。
・事業に取り組む際の関連するリスク及び機会の確実な考慮
・情報セキュリティに関する報告に対応するための、情報セキュリティマネジメ
ントシステムにおける目的と優先度の規定
3.3.2.2.2.2.2.2.2.2.2.2.2.2 以下を実行する.
・組織体の目的を適切に支援し、維持するような情報セキュリティの確立
・重大な影響を伴う新規の情報セキュリティプロジェクトを実施する際の、組織
体のガバナンス主体への承認依頼
3.3.3指示
3.3.3.1ガバナンス主体は、以下を実行する。
・組織体全体の戦略の方向性と目的の設定
・その組織体のリスク選好の決定
・情報セキュリティ戦略の承認
3.3.3.2各情報セキュリティマネジメントシステムの責任者は,以下を実行する。
・適切な投資及び資源の配分の実施
・組織体の目的に合致するように情報セキュリティの目的を調整
・情報セキュリティに関する役割と責任の割当
・情報セキュリティポリシーの規定
3.3.4モニタ
3.3.4.1ガバナンス主体は、以下を実行する。
・各情報セキュリティマネジメントシステムの活動の有効性に関する報告の受領
・組織体の優先度の文脈での、前項で報告された内容の評価
・各情報セキュリティマネジメントシステムの責任者への優先度の伝達
3.3.4.2各情報セキュリティマネジメントシステムの責任者は、以下を実行する。
・情報セキュリティマネジメントシステム活動の有効性の評価
・内部及び外部の要求事項への確実な適合の確保
・組織体に関わる変化、法令及び規制の環境、並びに情報リスクへの潜在的影響
の考慮
・適切なパフォーマンス指標を選定し、組織的な観点から適切なタイミングで報
告が実施されるよう要求を伝達
・情報セキュリティの実績に関する結果のフィードバックを組織体の経営陣に提
廿、
・情報リスク及び情報セキュリティに影響する新規の開発についての、組織体の
経営陣への注意喚起
読み込み中...
情報セキュリティ管理基準(ガバナンス及び運用管理策) - 第98頁
テキスト領域
選択中
非公開 (PII)
関連する新着公告を見逃さないために

Pro プランでは会社名・機関名・キーワードを監視条件として保存し、新着掲載を継続確認できます。14日間無料で試せます。

監視機能の詳細を見る →