金融機関等コンピュータシステムの安全対策基準・解説書 第8版

印刷ページを見る

要約

本ガイドラインは、金融機関、保険会社、証券会社などにおけるコンピュータシステムの自主基準として策定され、金融情報システムに関する安全対策の共通の指針として示されているものであるが強制力はなく、自社基準を策定する際の参考として利用するものである。初版は1985年に策定され、その後の環境変化を盛り込んで2011年に改定された第8版が最新版となる。

特徴

・金融機関などのコンピュータシステムを対象とした基準のため、偽造・盗難キャッシュカードへの対応など金融機関に特有な対策が盛り込まれている。
・基本的な構成は、建物、設備、関連設備などを各種自然災害、侵入、破壊などから守るための「設備基準」137項目、コンピュータ処理に係わるセキュリティ管理の方針、組織、責任体制、承認手順を定めた「運用基準」107項目、コンピュータシステムの信頼性・安全性向上のための「技術基準」51項目の3部により構成されている。
・設備や技術的な対策に限定することなく、セキュリティポリシーを策定し、マネジメントシステムによるPDCAサイクルや、コンティンジェンシープランの策定など総合的な対策が推奨されている。
・「自然災害」「機器の障害」「不正使用等」に起因するコンピュータシステムの障害を未然防止するとともに、事故発生時の影響を最小限に止め、早期回復を図るための対策が示されている。
・基幹業務のオンラインコンピュータシステムにおいて実施する必要がある項目と実施することが望ましい項目を書き分けている。
・想定される脅威として、火災、落雷、津波、高潮、出水、地震、電界・磁界障害、静電気、空気汚染、塵埃、重塩害、震動などの各種災害、機器の故障などによる障害、人の侵入、コンピュータウィルスやスパイウェアなどの不正プログラム、フィッシング、ファーミング、不正アクセス、盗難、情報漏洩、なりすましなどの犯罪、要員の教育不足や外部委託に起因する事故などが示されており、具体的な対策事例及び関連する法令やガイドラインなどが紹介されている。

公開元

■「金融機関等コンピュータシステムの安全対策基準・解説書 第8版」
https://www.fisc.or.jp/publication/disp_target_detail.php?pid=225

■「金融機関等コンピュータシステムの安全対策基準・解説書 (第8版追補改訂)」
https://www.fisc.or.jp/publication/disp_target_detail.php?pid=266

(2013年12月)

このページの先頭へ▲