政府、自治体のセキュリティポリシーGLを改正 - マイナンバー関連事務やネット接続を強靱化

政府は、「地方公共団体における情報セキュリティポリシーに関するガイドライン」および「地方公共団体における情報セキュリティ監査に関するガイドライン」を改正した。

「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考になるよう、情報セキュリティポリシーの考え方や内容について解説し、構成や例文を示したもの。2001年3月に策定後、これまで4回にわたり改正している。

一方「地方公共団体における情報セキュリティ監査に関するガイドライン」は、地方公共団体が情報セキュリティ監査を実施する際に活用することを目的としたもので、標準的な監査項目と監査手順を明示している。

2015年3月の前回改定時以降の、自治体情報セキュリティ対策検討チームからの報告や、「政府機関等の情報セキュリティ対策のための統一基準群」の改定などを受け、両ガイドラインのパブコメ案を公開。7月17日から同月27日まで意見を募集していた。

今回、寄せられた138件の意見を踏まえてガイドラインを決定。マイナンバー関連事務とLGWAN接続、インターネット接続において情報システム全体の強靱化を講じることを記載した。

またマイナンバー関連事務において多要素認証を実施すべきとした。また、インシデントへの対処としてCSIRTの設置や役割について追加している。

（Security NEXT - 2018/09/26 ）ツイート