|
|
| Top || 協議会 | 審査委員会 | マークについて | 審査基準 | 審査項目 | 料金表 || 申込方法 | | 安全・安心マーク取得インターネット接続サービス一覧 | |
| 審査項目 |
審査点に「必須」がついている項目は、その要件を満たす必要があります。点数は、その要件を満たしている場合に与えられる推奨点数です。必須25項目、推奨122点中91点以上(更新審査の場合、 必須26項目、推奨117点中91点以上)を獲得することでマークの使用許諾申請に合格することができます。(※2005年6月開催の二次審査より適用)
■改訂についてのお知らせ。[04年12月07日更新]
| 項目 | 審査点 | 更新審査点 | 確認方法 |
|---|---|---|---|
| 1 セキュリティポリシーの確立及び監査制度の導入 | |||
| 1−1 セキュリティポリシー(又はそれに相当する内部規程)、及び監査体制が確立されていること | |||
| 1-1-1 以下の内容が盛り込まれたセキュリティポリシー(又はそれに相当する内部規程)の有無を確認 ・セキュリティーポリシーの基本方針並びに適用範囲 ・組織と体制 ・重要情報と保護対策(情報機器廃棄時の対策を含む) ・評価と見直し ・法令遵守,違反に対する対応 ・運用と教育 |
必須 | 書面による当該文書の提出 | |
| 1-1-2 過去1年以内に、セキュリティポリシー(又はそれに相当する内部規程)による監査が行われたことの確認(監査すべき項目については、別途定める監査項目について網羅していなくてはならない) |
5 点 |
必須 | 直近の監査報告書の提出 |
| 1-1-3 セキュリティポリシー(又はそれに相当する内部規程)の見直し・変更規程があり、規程に沿って見直されていることの確認 | 3点 | 担当責任者による署名押印 | |
| 1-1-4 セキュリティポリシー(又はそれに相当する内部規程)は、しかるべき責任者の承諾を得ていることの確認 | 3点 | 担当責任者による署名押印 | |
| 1−2 従業員に対して、セキュリティに対する適切な啓発活動を行っていること | |||
| 1-2-1 従業員に対し、セキュリティに関する啓発活動を行う体制ができていることの確認 | 3点 | 担当責任者による署名押印 | |
| 2 システムのセキュリティレベル | |||
| 2−1 必要なセキュリティ対策がほどこされているか | |||
| 2-1-1 インターネット接続サービスを提供するために使用されている、主な、DNSサーバ、メールサーバ、Webサーバ、認証サーバ、ルータについて、別途定めるセキュリティ診断項目に記載の対策を施してあることの確認 | 必須 | 申請書提出日の3ヶ月以内に行われた診断結果書類の提出 | |
| 2-1-2 施設への立ち入りは、適切な権限を持つものに限定されていることの確認 | 必須 | 担当責任者による署名押印 | |
| 2-1-3 管理者権限を持ったアクセスは限定されていることの確認 | 必須 | 担当責任者による署名押印 | |
| 2−2 セキュリティ対策の見直しが定期的に行われているか | |||
| 2-2-1 セキュリティ対策の見直し、及び定期的な診断を行っていることの確認 | 5点 | 担当責任者による署名押印 | |
| 2−3 システムのメンテナンスについて、管理基準が確立されており、かつ、それに基づき作業が行われているか | |||
| 2-3-1 施設設置環境の変更・保全、ハード・ソフトウェアの導入・変更、及びバックアップ作業等についての管理基準が確立されていることの確認 | 5点 | 書面による当該文書の提出 | |
| 2-3-2 その管理基準に従った作業が行われていることの確認 | 5点 | 担当責任者による署名押印 | |
| 3 トラブル発生時の対応体制の確立 | |||
| 3−1 障害発生時の体制が適切であるか | |||
| 3-1-1 障害発生時における連絡体制がきちんと決められていることを確認 | 必須 | 書面による当該文書の提出 | |
| 3-1-2 障害発生時の対応責任者が適切に定められていることを確認 | 3点 | 担当責任者による署名押印 | |
| 3-1-3 基幹システム機器の設置場所に、消火、防火設備が整っていることの確認 | 5点 | 担当責任者による署名押印 | |
| 3-1-4 基幹システム機器の設置場所が、水害等に起因する水の侵入による被害を受けないようになっていることの確認 | 5点 | 担当責任者による署名押印 | |
| 3-1-5 以下に挙げるシステム・データのバックアップが適切に取られていることの確認 *顧客のアカウント管理情報、及び課金情報 *顧客が登録したデータ類 |
5点 | 担当責任者による署名押印 | |
| 3-1-6 バックアップからの復旧手順が定められていることの確認 | 5点 | 書面による当該文書の提出 | |
| 3-1-7 バックアップされたデータが基幹システム設置場所とは物理的に離れた場所に保管されていることの確認 | 5点 | 担当責任者による署名押印 | |
| 3-1-8 停電が発生した場合、必要な電源の確保がされていることの確認 | 3点 | 担当責任者による署名押印 | |
| 3−2 障害発生対策マニュアル等の書類が適切に策定されているか | |||
| 3-2-1 障害発生時における対策マニュアルの有無の確認 | 必須 | 書面による当該文書の提出 | |
| 3−3 障害の発生をアナウンスする体制が適切であるか、またアナウンスを適切に行っているか | |||
| 3-3-1 障害発生について、その内容や障害時間を顧客にアナウンスしていることの確認 | 必須 | 書面による当該文書の提出、またはWebの提示 | |
| 3-3-2 障害発生アナウンスの責任者が適切に定められていることの確認 | 3点 | 担当責任者による署名押印 | |
| 4 利用者向け契約約款等の整備と公表 | |||
| 4−1 契約時における契約約款の提示が適切であるか | |||
| 4-1-1 会員に契約約款を提供していることの確認 | 必須 | 書面による当該文書の提出 | |
| 4-1-2 契約時に契約約款の閲覧ができるようになっていることの確認 | 必須 | 書面による当該文書の提出、またはWebの提示 | |
| 4-1-3 常時Web上で契約約款や会員規程が閲覧できる状態になっていることの確認 | 5点 | Webの提示 | |
| 4−2 サービスの種類、運用基準、退会等についての記載が適切であるか | |||
| 4-2-1 サービスの内容についての広告や紹介は、その提供条件が明確に理解できるものであり、かつ、利用を受け付けるためのWebページ及び書類は、サービスの種類を明確に選択できる書式となっていることの確認 | 5点 | 書面による当該文書の提出、またはWebの提示 | |
| 4-2-2 会員が退会を希望した場合、退会の方法について適切に記載されていることの確認 | 必須 | 書面による当該文書の提出、またはWebの提示 | |
| 4-2-3 会員に対して禁止行為が規定されており、違反者に対する措置が明記されていることの確認 | 5点 | 書面による当該文書の提出、またはWebの提示 | |
| 4−3 サービスの変更に係る手続は適切であるか | |||
| 4-3-1 サービスの変更に係る処理について、会員が容易に行えるようになっていることの確認 | 5点 | 書面による当該文書の提出、またはWebの提示 | |
| 4-3-2 サービスの変更に係る手続において、変更適用期日が明示されていることの確認 | 3点 | 書面による当該文書の提出、またはWebの提示 | |
| 4−4 契約約款の変更に係る手続は適切であるか | |||
| 4-4-1 会員に対し、重要な影響を及ぼす契約約款、及び料金の変更をする際には、会員に対する十分な周知の期間が設けられていることの確認 | 必須 | 担当責任者による署名押印 | |
| 5 ユーザー対応体制の整備 | |||
| 5−1 ヘルプデスクの設置は適切に行われているか | |||
| 5-1-1 ユーザー対応の窓口は用意されているか、また、電話、Fax、メール等複数のチャネルからアクセスできるようになっていることの確認 | 必須 | 書面による当該文書の提出、またはWebの提示 | |
| 5-1-2 適切な電話回線数を用意してあり、通常時にユーザーサポートが円滑に行われる状態にあることの確認 |
5点 | 担当責任者による署名押印 | |
| 5-1-3 ユーザー対応業務のフローとマニュアルが整備されていることの確認 | 5点 | 担当責任者による署名押印 | |
| 5-1-4 会社の代表電話とユーザー対応窓口の電話番号が別途用意されていることの確認 | 3点 | 書面による当該文書の提出、またはWebの提示 | |
| 5-1-5 ユーザー対応の履歴がきちんと残っていることの確認 | 3点 | 担当責任者による署名押印 | |
| 5−2 サービス停止予告等のアナウンスは適切に行われているか | |||
| 5-2-1 サービス停止の予告等がきちんとアナウンスされていることの確認 | 5点 | 書面による当該文書の提出、またはWebの提示 | |
| 6 利用者に対する周知・啓発等の取組み | |||
| 6−1 会員に対して基礎的なセキュリティの啓発を行っているか | |||
| 6-1-1 会員に対して、ネット利用時において、以下に例示するような基礎的なセキュリティ情報を提供していることの確認 ・クレジットカード番号や個人情報等を送信する場合の注意事項 ・認証パスワードの保護 ・詐欺、取引上のトラブル例 ・基礎的なウィルス対策方法 ・常時接続時の注意事項 |
必須 | 書面による当該文書の提出、またはWebの提示 | |
| 6−2 会員に対して最新のセキュリティ関連情報を提供しているか | |||
| 6-2-1 会員に対して、最新のウィルスの情報を発信していることの確認 | 必須 | 書面による当該文書の提出、またはWebの提示 | |
| 6-2-2 会員に対して、最新のインターネット上のセキュリティ情報を発信していることの確認 | 必須 | 書面による当該文書の提出、またはWebの提示 | |
| 7 利用者に対する周知・啓発等の取組み | |||
| 7−0 主務大臣により改善命令を受けていないことの確認 | |||
| 7-0-1 主務大臣により改善命令を受けていないことの確認 | 必須 | 個人情報保護管理者本人の署名押印 | |
| 7−1 安全管理に係る取組みを適切に行っているか(0点の場合は不合格) | |||
|
7-1-1 個人情報へのアクセスの管理について、以下の具体的な具体的な取組みを行っていることの確認 ・アクセス権限者の限定(異動・退職した社員のアカウント管理処理を含める) ・アクセス状況の監視体制の整備(アクセスログの長期保存等) ・個人情報へのアクセスが可能な部屋への入退室管理 |
0−5点 | 書面による当該文書の提出 | |
| 7-1-2 個人情報の持ち出し手段の制限について、コンピュータなど、機器から外部記憶媒体への記録の禁止等、具体的な取組みを行っていることの確認 | 0−5点 | 書面による当該文書の提出 | |
| 7-1-3 個人情報が保存されているコンピュータなど、機器に対して外部からのアクセス防止のための措置について具体的な取組みを行っていることの確認 | 0−5点 | 書面による当該文書の提出 | |
| 7−2 個人情報保護管理者を設置し、必要な内部規定を策定しているか | |||
| 7-2-1 個人情報保護管理者を適切に定めていることの確認 | 必須 | 個人情報保護管理者本人の署名押印 | |
|
7-2-2 個人情報を保護するために以下の必要な内部規程を策定していることの確認 ・取得の制限・適正な取得 ・利用目的の特定 ・利用目的による制限 ・従業者および委託先の監督など |
必須 | 書面による当該文書の提出 | |
| 7−3 従業者に対する必要な教育研修を適切に行っているか | |||
| 7−3 派遣労働者を含む従業者(正社員、契約社員、嘱託社員、パートタイマー、アルバイト等)及び役員に対して適切な教育研修を「年1回以上」行っていることの確認 | 必須 | 個人情報保護管理者による署名押印 | |
| 7−4 プライバシーポリシーを策定し、公表しているか | |||
| 7-4-1 プライバシーポリシーを策定し、公表していることの確認 | 必須 | Webの提示 | |
| 7−5 個人情報の取扱いに関する苦情などを適切かつ迅速に処理しているか | |||
| 7-5-1 個人情報の取扱い関する苦情(不平不満)に対して処理手続きが策定され、苦情対応の窓口を設けて適切かつ迅速な処理をしていることの確認 | 必須 | 書面による当該文書の提出 | |
|
7-5-2 本人から、当該本人が識別される個人情報の開示を求められた場合、遅滞なく応じる手続きが策定され、手続きの仕方が公表されていることの確認 |
必須 | 書面による当該文書の提出およびWebの提示 | |
| 7−6 情報漏えい等が発生した場合の措置を策定しているか | |||
| 7-6-1 個人情報の漏えいが発生した場合、事実確認を本人に速やかに通知する措置を策定していることの確認 | 必須 | 書面による当該文書の提出 | |
| 7-6-2 個人情報の漏えい等が発生した場合、二次被害の防止、類似事案の発生回避等の観点から可能な限り、事実関係、その他有用な情報を公表する措置を策定していることの確認 | 必須 | 書面による当該文書の提出 | |
| 7-6-3 個人情報漏えい等が発生した場合に、漏えい等に係る事実関係を総務省に報告する措置を策定していることの確認 | 必須 | 書面による当該文書の提出 | |
(注)7-1-1〜7-1-3については、内容により5〜0点(0点は不合格)(基準は公表せず)
●監査について
審査項目中の「1-1-2 過去1年以内に、セキュリティポリシー、またはそれに相当する内部規程による監査が行われたことの確認(監査すべき項目については、別途定める監査項目について網羅していなくてはならない)」に係る監査項目及び監査方法について具体的に規定する。
○監査項目
セキュリティポリシーあるいはそれに相当する内部規程(以下「ポリシー」という。)の基本方針並びに適用範囲
- ポリシーに策定された基本方針に沿ってオペレーションが行われていたかの確認
- 障害内容がポリシーに則って記録されていたかの確認
- パスワード管理が適切にされていたかの確認
- ポリシーの適用範囲によって、オペレーションがなされていたかの確認
組織と体制
- 管理者をはじめ、経営者がポリシーを理解し、その遵守に努めるよう指示していたかの確認
- ポリシーを遵守するための体制ができていることの確認
重要情報と保護対策(情報機器廃棄時の対策を含む)
- 管理されるデータのリストアップと重要度の区分が遵守されていたかの確認
- データへのアクセスコントロールが適切になされていたかの確認
- バックアップ対策が遵守されていたかの確認
- データ保護の方法が遵守されていたかの確認
- データ保管機器廃棄時の処分方法が遵守されていたかの確認
- ハードウェアの設置状況、保守が遵守にされていたかの確認
評価と見直し
- ポリシーの評価と見直しが、規程に沿って行われたかの確認
法令遵守,違反に対する対応
- 法令に違反した事例があった場合に、適切に対応されていたかの確認
運用と教育
- ポリシーに沿った運用を遵守するための教育が、従業員に対して行われたかの確認
外部委託管理が適切になされているか
- セキュリティ対策や、ユーザー対応などについて、外部委託されている場合には、適切な委託契約を結んでいることの確認
○監査方法
監査計画に基づき1年以内に、別途掲げる監査項目が監査されていること。
それぞれの項目について、セキュリティポリシー、またはそれに相当する内部規程などに従い、適切に運用されているかどうかを確認する。
1回の監査で全ての項目を網羅する必要はないが、1年以内に全ての監査項目について網羅していること。
監査の主体が外部機関である必要はない。
審査項目中の「2-1-1 インターネット接続サービスを提供するために使用されている、主な、DNSサーバ、メールサーバ、Webサーバ、認証サーバ、ルータについて、別途定めるセキュリティ診断項目に記載の対策を施してあることの確認」に係るセキュリティ診断項目及び診断方法について具体的規定する。
2-1-1 セキュリティ診断について 審査変更点
○診断項目
システムのセキュリティ診断を行うにあたり、日々、新しいセキュリティ上の問題が発生するため、固定的な診断項目を設定することは困難である。そこで、セキュリティ上の問題について日々更新されており信頼のおけるものとして、CVEおよびCERTの脆弱性データベースに記載されているものを基準にすることとする。その中でも、以下について重点的に診断することとする。
- DNSシステムソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- Webサーバソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- メール送信システムソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- メール受信システムソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- 接続認証ソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- 接続機器について、そのOSのバージョンが適切であるか、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- 遠隔ログインソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- その他利用しているアプリケーションソフトにおいて、そのバージョンが適切であるか、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
- その他適切なアクセス制御を施して、不要なサービスを提供していないか。
○診断方法
日々更新される診断項目について診断するために、ベンダーなどから提供される診断ツールを用いて診断することとする。
診断結果についての信頼ができる診断ツールとして、以下を推奨する。
- BBSec「Internal CrackerGuard」による診断
http://www.bbsec.co.jp/solution/internal_crackerguard.html
株式会社ブロードバンドセキュリティが提供する脆弱性診断ツールです。
- 富士通「アタックテストサービスエクスプレス」による診断
http://segroup.fujitsu.com/secure/service/attacktest-express/index.html
富士通がご提供するチェックは、ハード・ソフトの導入を一切必要としない ASP 型のサービスです。
- 日本ベリサイン「ネットワークセキュリティ診断サービス」による診断
http://www.verisign.co.jp/consulting/infosec/netdiag/index.html
日本ベリサイン株式会社が提供する、サーバ/ネットワーク機器に対する脆弱性診断サービスです。
- 「SAINT」による診断
http://www.saintcorporation.com/
このツールを利用して正式なサービスを提供している会社もございます。独自で診断された結果を提出いただいても結構です。不明点は、協議会までお問い合わせ下さい。
- 「NESSUS」による診断
http://www.nessus.org/
このツールを利用して正式なサービスを提供している会社もございます。独自で診断された結果を提出いただいても結構です。不明点は、協議会までお問い合わせ下さい。