田舎暮らしと別荘ライフ-【田舎物件・リゾート情報館】
プライバシーポリシー(個人情報保護方針)
このサイトは、下記に掲載するOECD(経済協力開発機構)のガイドライン(OECD情報システム及びネットワークのセキュリティのためのガイドライン:セキュリティ文化の普及に向けて)における9原則に沿って運営されています。
OECD情報システム及びネットワークのセキュリティのためのガイドライン
1》認識(Awareness)
参加者は、情報システム及びネットワークのセキュリティの必要性並びにセキュリティを強化するために自分達にできることについて認識すべきである。
リスクと利用可能な安全防護措置に関する認識が、情報システム及びネットワークのセキュリティにとっての最初の防衛線である。情報システム及びネットワークは、内部及び外部双方のリスクによって影響を受けるおそれがある。参加者は、セキュリティ面での障害が自らの管理下にあるシステム及びネットワークに著しい損害を与えるおそれがあることを理解すべきである。参加者は、また、相互接続及び相互依存の結果として他者に損害を与えるおそれがあることを認識すべきである。参加者は、自らのシステムの構成及びそのシステムのために利用可能な更新情報、ネットワークの中での位置付け、セキュリティを強化するために自らが実施し得る良い慣行、並びに他の参加者のニーズを認識すべきである。
2》責任(Responsibility)
すべての参加者は、情報システム及びネットワークのセキュリティに責任を負う。
参加者は、相互接続されたローカルな、及びグローバルな情報システム及びネットワークに依存しており、情報システム及びネットワークのセキュリティに対する自らの責任を理解すべきである。参加者は、個々の役割にふさわしい方法で、責任を負うべきである。参加者は、自らの方針、実践、手段及び手続を定期的に見直し、それらが自らの環境に適したものであるか否かを評価すべきである。製品若しくはサービスを開発、設計又は供給する者は、システム及びネットワークのセキュリティに取り組み、利用者が製品又はサービスのセキュリティ機能及びセキュリティに関する自らの責任をよりよく理解できるように、適切な時期に、更新情報を含む適切な情報を頒布すべきである。
3》対応(Response)
参加者は、セキュリティの事件に対する予防、検出及び対応のために、時宜を得たかつ協力的な方法で行動すべきである。
情報システム及びネットワークが相互接続されていること並びに急速でかつ広範な被害の可能性があることを認識し、参加者はセキュリティの事件に対処するために、適切な時期に協力的な方法で行動すべきである。参加者は脅威及び脆弱性についての情報を適切に共有するとともに、セキュリティの事件に対する予防、検出及び対応を目的とした迅速で効果的な協力を行う手続を整備すべきである。なお、許容される場合には、これらの行動に国境を越えた情報の共有と協力を含めることができる。
4》倫理(Ethics)
参加者は、他者の正当な利益を尊重するべきである。
情報システム及びネットワークが我々の社会に普及していることから、参加者は自らの作為又は不作為が、他者に損害を与えるおそれがあることを認識する必要がある。それゆえ、倫理的な行動が極めて重要であり、参加者は、ベストプラクティスの形成及び採用に努め、かつセキュリティの必要性を認識し他者の正当な利益を尊重する行動を促進することに努めるべきである。
5》民主主義(Democracy)
情報システム及びネットワークのセキュリティは、民主主義社会の本質的な価値に適合すべきである。
セキュリティは、思想及び理念を交換する自由、情報の自由な流通、情報及び通信の秘密、個人情報の適切な保護、公開性並びに透明性を含む、民主主義社会によって認識される価値と合致する方法で実施されるべきである。
6》リスクアセスメント(Risk assessment)
参加者は、リスクアセスメントを行うべきである。
リスクアセスメントは、脅威と脆弱性を識別するものであり、技術、物理的及び人的要因、方針並びにセキュリティと関わりを持つ第三者のサービスのような、重要な内的及び外的要因を包含できるよう十分に広範であるべきである。リスクアセスメントは、保護すべき情報の性質と重要性に照らして、リスクの許容できるレベルの決定を可能にし、情報システム及びネットワークに対する潜在的な損害のリスクを管理するために、適切な制御を選択することを支援する。情報システムの相互接続が増加しているため、リスクアセスメントは、他者に起因する、また、他者に対してもたらされる潜在的な損害についての考慮を含むべきである。
7》セキュリティの設計及び実装(Security design and implementation)
参加者は、情報システム及びネットワークの本質的な要素としてセキュリティを組み込むべきである。
システム、ネットワーク及び方針は、セキュリティを最適なものとするために、適切に設計され、実装され、かつ調和が図られる必要がある。この努力の主要な、しかし唯一ではない焦点は、識別された脅威及び脆弱性から生じる潜在的な損害を、回避又は限定するための、適切な安全防護措置及び解決策を設計し、採用することにある。技術的及び非技術的安全防護措置及び解決策が必要であり、かつ、これらは組織のシステム及びネットワーク上の情報の価値と比例するべきである。セキュリティは、すべての製品、サービス、システム及びネットワークの基本的要素であるべきであり、システムの設計及び構造に不可欠な部分であるべきである。エンドユーザにとって、セキュリティの設計及び実装とは、主として自らのシステムのために製品及びサービスを選択し、構成することである。
8》セキュリティマネジメント(Security management)
参加者は、セキュリティマネジメントへの包括的アプローチを採用するべきである。
セキュリティマネジメントは、参加者の活動のすべてのレベル及び運用のすべての局面を包含しつつ、リスクアセスメントに基づき、かつ、動的であるべきである。セキュリティマネジメントは、出現する脅威に対する将来を見越した対応を含み、事件・事故の予防、検出、対応、システムの復旧、継続的な保守、レビュー及び監査を扱うべきである。情報システム及びネットワークのセキュリティの方針、実践、手段及び手続は、首尾一貫したセキュリティシステムの創造のために調和が図られ、統合されるべきである。セキュリティマネジメントの要件は、関与のレベル、参加者の役割、含まれるリスク及びシステムの要件に依存する。
9》再評価(Reassessment)
参加者は、情報システム及びネットワークのセキュリティのレビュー及び再評価を行い、セキュリティの方針、実践、手段及び手続に適切な修正をすべきである。
新しく、かつ変化する脅威及び脆弱性が絶えず発見されている。参加者は、これらの展開するリスクに対処するために、セキュリティのすべての局面のレビュー、再評価及び修正を継続的に行うべきである。
| 
