★
ニュース
★
国家情報セキュリティ標準化専門委員会事務局は、2023年4月18日、「サイバーセキュリティ標準実践ガイドライン-ネットワークデータセキュリティリスク評価実施ガイドライン(意見募集案)」(以下、「実施ガイドライン」という。)を公表した。社会 コメントを受け付けています。コメントの募集は 2023 年 5 月 2 日に終了します。
「実施ガイドライン」は、ネットワークデータのセキュリティリスク評価の考え方や手法、具体的なネットワークデータのセキュリティリスク評価の手順や評価事項を明確に示しており、情報処理事業者が独自にセキュリティ評価を実施する場合や、組織的に検査・評価を行う場合に適しています。関連する管轄当局による。「実践ガイドライン」は本文と2つの付録から構成されています。
本文は範囲、用語の定義、リスク評価の概要、評価の準備、情報調査、リスク評価、総合分析、評価の概要に分かれています。
付録は、データ セキュリティ リスクの例と評価レポートのテンプレートに分かれています。
今回の「実施ガイドライン」の要点を以下にまとめます。
- 適用範囲と定義
「実施ガイドライン」第2.1条では、「ネットワークデータ」を「インターネットを通じて収集、保存、送信、処理、生成される各種電子データ」と定義しています。上記の定義は、「ネットワークデータセキュリティ管理規則(意見募集案)」第 73 条における「電子形式の情報記録」としてのネットワークデータの定義と基本的に一致しています。
なお、本「実施ガイドライン」の上位法令の一つである「情報保全法」における「データ」には、上記の電子データに加え、非電子データも含まれます。したがって、「実施ガイドライン」では以降の文章で「ネットワークデータ」を繰り返し「データ」と表記していますが、読者はその表記の区別に注意する必要があります。
- リスク評価のアイデア
基本的な姿勢: ネットワーク データ セキュリティ リスク評価は、予防、事前発見、積極的予防に重点を置き、データ セキュリティ保護とデータ処理者のデータ処理活動に関するリスク評価を実施します。
期待される目標: データ セキュリティの全体的なステータスを理解し、データ セキュリティ リスクを発見し、データ セキュリティ管理と技術的保護手段を提案し、攻撃、損傷、盗難、漏洩、悪用を防ぐデータ セキュリティの能力を向上します。
分析対象: データセキュリティの問題と、国家安全保障、公共の利益、または業界、組織、個人の正当な権利と利益に影響を与える可能性のある潜在的なリスク。
出力結果:リスク課題リスト、リスク評価レポート。
ネットワークデータセキュリティリスク評価の評価考え方を図1に示します。
3. リスク評価の内容
「実施ガイドライン」では、ネットワークデータセキュリティのリスク評価は、主にデータセキュリティ管理、データ処理活動のセキュリティ、データセキュリティ技術、個人情報保護などの側面に焦点を当てるべきであると明記している。具体的な評価内容の枠組みを以下の図 2 に示します。
4. リスク評価プロセス
「実装ガイドライン」は、ネットワークデータセキュリティリスク評価の全体的なプロセス、具体的な作業、および主な成果物を明確にします。リスク評価の開発は、図 3 に示すように、主に評価準備、情報調査、リスク評価、総合分析、評価要約の 5 つの段階で構成されます。
関連する規制当局がデータセキュリティの検査と評価を組織します
関係部門が検査・評価を実施する際には、「実施ガイドライン」を参照して検査を実施することができ、そのプロセスは主に「評価準備」「評価実施」「分析・まとめ」の3段階に分かれており、具体的な実施手順は図5に示すとおりである。
