教育情報セキュリティポリシーに関するガイドライン53

皆さんこんにちは。

令和4年3月、教育情報セキュリティポリシーに関するガイドラインが一部改訂されました。

平成29年10月18日 策定後、何度か改訂を繰り返しているガイドラインです。HBI通信でもたびたび取り上げてきましたが、今回は最新版をご一緒に読んでいくことにしましょう。

参考資料については、繰り返し申し上げますが、あくまで「一例」です。ご自分の自治体に合ったものにするために、よく理解をして、具体的に落とし込めるくらいご確認いただければと思います。難しい言葉が頻繁に出てきますが、ご一緒にゆっくり読んでいくことで、教育情報セキュリティポリシーを、少しずつ身近なものにしていってもらえればと思います。よろしくお願いいたします。

参考資料　1.13.3. 教育情報セキュリティポリシー及び関係規程等の見直し

一度教育情報セキュリティポリシーを策定したら、ずっとそのままで構わないかというと違いますね。

ガイドラインもほぼ1年に1回程度改訂されています。それくらい、セキュリティは日進月歩なのです。このシリーズを読んでいる方から「パスワードがそんなことになっているとは知りませんでした」と感想をいただきましたが、そうなんです。常識、と思っていたことが簡単にひっくり返るのがセキュリティです。

また、「見直さなきゃ」と担当が思っているだけでは見直しの実施はとても労力がかかります。

ですので、セキュリティポリシー内に、見直しの規定を書いておくことが重要です。

例文は以下の通りです。

「情報セキュリティ委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等をふまえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする」

「毎年度」と「重大な変化が発生した」時という風に書いてあります。また、注釈には必要に応じてリスク分析をする必要がある、ともあります。杓子定規に捉えるのではなく、必要な時期に必要な更新を実施するということですね。その「必要」は自治体の状況によって少しずつ違いますから、必ずこう、ということではなく、柔軟な対応が求められます。

更にガイドラインには「見直しの際は、教育情報セキュリティポリシー及び関係規程等に次の事項によって生じる要求事項が含まれているか確認すること。」

とあります。要求事項がきちんと含まれていないと、規程にないのでどうしたらよいか、というような事象が発生し、より混乱を招きます。

• 事業計画
• 規制、法令及び契約
• 現在及び将来予想される情報セキュリティの脅威環境

ガイドラインでは上記3点が挙げられていますが、例えば、契約時に発生するであろう様々なことに対して、規程がされているかどうかを確認する必要がある、ということですね。見直し前のセキュリティポリシー運用中に、契約時に決まってなかったために困ったことなどがなかったか、ということを確認します。

このような形で、長い間ずっと教育情報セキュリティポリシーに関するガイドラインを読んできましたが、これで最後までたどり着きました。この後参考別表がついていますので、そちらの重要なポイントを確認して、終わりという形にできればと思います。

来週は参考資料の続き、【参考別表】 権限・責任等一覧表について読んでいきます。