カナダ CCCS 政府のセキュリティに関する方針と「ネットワークプロトコルの安全な設定に関するガイダンス 第3版(ITSP.40.062)」
こんにちは、丸山満彦です。
日本の政府には、政府統一基準等についてNISCが一元的に管理するようになっていますが、カナダ政府も政府のセキュリティの基準を定めています。
政府のセキュリティに関する方針
・Policy on Government Security
さらにアイデンティティ管理に関する指令があります
・Directive on Identity Management
それらの補助文書として、位置付けられる「ネットワークプロトコルの安全な設定に関するガイダンス」の第3版が1月に発行されています...
ということで紹介です...
・2025.01 Guidance on securely configuring network protocols (ITSP.40.062)
PDFもありますが、HTMLのほうが読みやすいですよね...
・[PDF]
目次...
せっかくなので、カナダ政府のセキュリティの基準を...
・2019.07.01 Policy on Government Security
目次...
| 1. Effective date | 1. 発効日 |
| 2. Authorities | 2. 権限 |
| 3. Objectives and expected results | 3. 目的および期待される結果 |
| 4. Requirements | 4. 要件 |
| 5. Roles of other government organizations | 5. 他の政府機関の役割 |
| 6. Application | 6. 適用 |
| 7. Consequences of non-compliance | 7. 不遵守の結果 |
| 8. References | 8. 参考文献 |
| 9. Enquiries | 9. 問い合わせ先 |
| Appendix A: Security Controls | 附属書A:セキュリティ・コントロール |
| Appendix B: Definitions | 附属書B:定義 |
| 1. Effective date | 1. 発効日 |
| 1.1This policy takes effect on July 1, 2019. | 1.1本方針は2019年7月1日に発効する。 |
| 1.2This policy replaces the Policy on Government Security, dated July 1, 2009. | 1.2本方針は、2009年7月1日付の「政府セキュリティに関する方針」に代わるものである。 |
| 1.3Transitional considerations: | 1.3経過措置 |
| 1.3.1Subsection 4.1.5 of this policy will take effect on July 1, 2019, or on the scheduled date for the renewal of the department’s security plan, whichever is later. | 1.3.1本方針の第4.1.5項は、2019年7月1日、または同局のセキュリティ計画の更新予定日のいずれか遅い日に発効する。 |
| 2. Authorities | 2. 権限 |
| 2.1This policy is issued pursuant to section 7 of the Financial Administration Act. | 2.1本方針は、金融管理法第7条に基づき発行される。 |
| 2.2The Treasury Board has delegated to the President of the Treasury Board the authority to amend and rescind directives related to this policy, including standards, mandatory procedures and other appendices. | 2.2財務省理財局は、標準書、必須手続き、その他の附属書を含め、本方針に関連する指令の修正および取消権限を財務省理財局総裁に委任している。 |
| 3. Objectives and expected results | 3. 目的と期待される結果 |
| 3.1The objectives of this policy are as follows: | 3.1本ポリシーの目的は以下の通りである: |
| 3.1.1To effectively manage government security controls in support of the trusted delivery of Government of Canada programs and services and in support of the protection of information, individuals and assets; and | 3.1.1カナダ政府のプログラムとサービスのトラストド・デリバリを支援し、情報、個人、資産の保護を支援するため、政府のセキュリティ・コントロールを効果的に管理する。 |
| 3.1.2To provide assurance to Canadians, partners, oversight bodies and other stakeholders regarding security management in the Government of Canada. | 3.1.2カナダ政府におけるセキュリティ管理に関して、カナダ国民、パートナー、監督団体、その他の利害関係者に保証を提供する。 |
| 3.2The expected results of this policy are as follows: | 3.2本方針の期待される結果は以下のとおりである: |
| 3.2.1Governance of government security controls within departments, with partners and across government will be effective, by fulfilling specified functions and successfully producing the intended result; | 3.2.1省庁内、パートナーとの間、および政府全体における政府の安全管理に関するガバナンスは、特定の機能を果たし、意図した結果を成功裏に生み出すことによって、効果的なものとなる; |
| 3.2.2Access to advice, guidance and services, including secure internal enterprise services, will be enabled; | 3.2.2安全な内部エンタープライズサービスを含む、助言、ガイダンス、サービスへのアクセスが可能になる。 |
| 3.2.3Deputy heads and central agencies will have and share information needed for informed decision-making on government security priorities and resources; | 3.2.3副首長と中央省庁は、政府の安全保障上の優先事項と資源に関す る情報に基づく意思決定に必要な情報を入手し、共有する; |
| 3.2.4Risk-based and standardized security practices and controls will be implemented, monitored and maintained; and | 3.2.5セキュリティ事象の管理が調整され、動的な脅威環境への適応が可能になる。 |
| 3.2.5Management of security events will be coordinated to enable adaptation to a dynamic threat environment. | 3.2.5セキュリティ事象の管理が調整され、動的な脅威環境への適応が可能になる。 |
| 4. Requirements | 4. 要件 |
| 4.1Deputy heads are responsible for the following: | 4.1副責任者は、以下のことに責任を負う: |
| 4.1.1Designating a chief security officer responsible to the deputy head or to the departmental executive committee to provide leadership, coordination and oversight for departmental security management activities; | 4.1.1部門セキュリティマネジメント活動の指導、調整、監督を行うために、副責 任者または部門執行委員会に対して責任を負うセキュリティ最高責任者を任命する。 |
| 4.1.2Establishing the department’s security governance, including responsibilities for security controls and authorities for security risk management decisions; | 4.1.2セキュリティ管理に関する責任やセキュリティリスクマネジメントの決定権限など、部門のセキュリティガバナンスを確立する; |
| 4.1.3Ensuring that their authority to deny, revoke or suspend security clearances is not delegated; | 4.1.3セキュリティクリアランスを拒否、取り消し又は一時停止する認可が委譲されていないことを確認する; |
| 4.1.4Identifying security and identity management requirements for all departmental programs and services, considering potential impacts on internal and external stakeholders; | 4.1.4内外の利害関係者への潜在的な影響を考慮し、全部門のプログラム及びサービスに対するセキュリ ティ及びアイデンティティ管理要件を特定する; |
| 4.1.5Approving a three-year departmental security plan that is reviewed annually, sets out strategies for meeting departmental security requirements reflective of and contributing to government-wide security priorities, and addresses the security controls described in Appendix A; | 4.1.5毎年見直され、政府全体のセキュリティ優先事項を反映し、これに貢献する部門セキュリ ティ要件を満たすための戦略を定め、附属書 A に記載されているセキュリティ管理に対処する 3 年間の部門セキュリティ計画を承認する; |
| 4.1.6 Reviewing any residual security risk that exceeds established authorities for security risk management decisions; | 4.1.6 セキュリティリスクマネジメントの決定に関して確立された認可権限を超える、残存するセキュリティリスクを見直す; |
| 4.1.7Ensuring that security incidents and other security events are assessed, investigated, documented, acted on and reported to the appropriate authority and to affected stakeholders; | 4.1.7セキュリティインシデント及びその他のセキュリティ事象が評価、調査、文書化、対応され、しかるべき機関及び影響を受ける利害関係者に報告されることを確実にする; |
| 4.1.8Responding to direction, advice and information requests issued by the Treasury Board of Canada Secretariat and the Privy Council Office regarding security events that require an immediate or coordinated government-wide action; | 4.1.8緊急または政府全体の協調行動を必要とする安全保障上の事象に関して、カナダ財務省事務局および枢密院事務局から出される指示、助言、情報の要請に対応する; |
| 4.1.9Establishing a written agreement when the department relies on or supports another department or organization to achieve government security objectives (see subsection 6.3 of this policy for application of this requirement); and | 4.1.9政府のセキュリティ目標を達成するために、当該省庁が他の省庁や組織に依存したり、他の省庁や組織を支援したりする場合には、書面による合意を確立する(本要件の適用については、本ポリシーの第6.3項を参照)。 |
| 4.1.10Investigating and acting when significant issues regarding policy compliance arise, and ensuring that appropriate remedial action is taken to address these issues. | 4.1.10ポリシーの遵守に関して重大な問題が生じた場合には、これを調査し、対処するとともに、これらの問題に対処するための適切な是正措置が取られるようにする。 |
| 4.2Deputy heads of internal enterprise service organizations, which are departments or organizations that provide internal enterprise services to other government of Canada departments are responsible for the following: | 4.2カナダ政府の他の部局に内部エンタープライズサービスを提供する部局または組織である内部エンタープライズサービス組織の副組織長は、以下の責任を負う: |
| 4.2.1Establishing governance, including designating one or more senior officials, to oversee security considerations in the provision of internal enterprise services; | 4.2.1内部エンタープライズサービスの提供におけるセキュリティへの配慮を監督するために、1人以上の上級 職員を指名することを含め、ガバナンスを確立する。 |
| 4.2.2Liaising with client departments and the Treasury Board of Canada Secretariat when identifying security requirements for internal enterprise services; | 4.2.2内部エンタープライズサービスのセキュリティ要件を特定する際に、顧客部門およびカナダ財務省事務局と連携する。 |
| 4.2.3Examining and acting on issues regarding fulfillment of security requirements with affected stakeholders; | 4.2. 3影響を受ける利害関係者とともに、セキュリティ要件の充足に関する問題を検討し、対処する; |
| 4.2.4Conducting periodic reviews (every three years at a minimum) to assess the extent to which the services provided meet government-wide security needs; and | 4.2.4提供されるサービスが政府全体のセキュリティニーズにどの程度合致しているかを評価するために、定期的なレビュー(最低3年ごと)を実施する; |
| 4.2.5Investigating and acting when significant issues regarding policy compliance arise, and ensuring that appropriate remedial action is taken to address these issues. | 4.2.5ポリシーの遵守に関する重大な問題が生じた場合に調査し、対処し、これらの問題に対処するために適切な是正措置が取られるようにする。 |
| 4.3Deputy heads of lead security agencies, which are described in subsection 5.2 of this policy, are responsible for the following: | 4.3本方針の5.2項に記載されている主管セキュリティ機関の副責任者は、以下の責任を負う: |
| 4.3.1Designating a senior official or officials to oversee their lead security agency activities under this policy; | 4.3.1本方針の下、主管保安機関の活動を監督する上級幹部または幹部を指名する; |
| 4.3.2Consulting with the government-wide security policy governance when identifying priorities for their lead security agency activities; | 4.3.2主管安全保障機関の活動の優先事項を特定する際、政府全体の安全保障方針ガバナン スと協議する |
| 4.3.3Exercising leadership and providing departments with advice and guidance on government security, in accordance with section 5 of this policy and the following general responsibilities: | 4.3.3本方針の第 5 項および以下の一般的責任に従い、リーダーシップを発揮し、政府の安全保障 に関する助言とガイダンスを部局に提供する: |
| 4.3.3.1Participating in government-wide security policy governance to assist in setting direction and priorities that align with national security objectives and other government priorities; | 4.3.3.1政府全体の安全保障政策ガバナンスに参画し、国家安全保障目標及び他の政府の優先事項と整合する方向性及び優先事項の設定を支援する。 |
| 4.3.3.2Providing advice to departments, and developing technical and operational guidance to support departments in policy implementation, in accordance with their mandate and in consultation with the Treasury Board of Canada Secretariat and the government-wide security policy governance; | 4.3.3.2その職務権限に従い、カナダ財務省事務局及び政府全体の安全保障政策ガバナンスと協議の上、部局に助言を提供し、部局の政策実施を支援するための技術上及び業務上の指針を策定する。 |
| 4.3.3.3Consulting with the Treasury Board of Canada Secretariat, Global Affairs Canada and other relevant lead security agencies and stakeholders when developing international agreements, treaties or other instruments that could potentially affect government-wide security management practices; | 4.3.3.3政府全体のセキュリティ管理実務に影響を及ぼす可能性のある国際協定、条約、その他の文書を策定する際は、カナダ財務省事務局、カナダ・グローバル・アフェアーズ(Global Affairs Canada)、その他の関連主要セキュリティ機関及び利害関係者と協議を行う; |
| 4.3.3.4Participating in the analysis of threats, vulnerabilities, risks and security events; and sharing related findings with relevant stakeholders; and | 4.3.3.4脅威、脆弱性、リスクおよびセキュリティ事象の分析に参加し、関連する利害関係者と関連する調査結果を共有する。 |
| 4.3.3.5Providing expertise and support for the development of Government of Canada security awareness and training curricula. | 4.3.3.5カナダ政府のセキュリティ意識向上およびトレーニングカリキュラムの開発に専門知識を提供し、支援する。 |
| 4.4The Secretary of the Treasury Board is responsible for the following: | 4.4財務省理財局長官は以下の責任を負う: |
| 4.4.1Establishing government-wide security policy governance to set strategic direction and priorities and coordinating security priorities, plans and activities government-wide; | 4.4.1戦略的方向性と優先事項を設定するための政府全体のセキュリティ政策ガバナンスを確立し、政府全体のセキュリティ優先事項、計画、活動を調整する; |
| 4.4.2Representing government-wide security needs in security governance for internal enterprise services; | 4.4.2内部エンタープライズ・サービスのセキュリティ・ガバナンスにおいて政府全体のセキュリティ・ニーズを代表する; |
| 4.4.3Liaising with deputy heads and other senior officials on security issues, including security events that have potential government-wide impacts; | 4.4.3政府全体に影響を及ぼす可能性のあるセキュリティ事象を含むセキュリティ問題について、副長官その他の高官と連携する; |
| 4.4.4Liaising with other lead security agencies on matters of national security and emergency management; and | 4.4.4国家安全保障と緊急事態管理に関する事項について、他の主導的安全保障局と連携する; |
| 4.4.5Establishing measures that support the capacity and development of the security functional community. | 4.4.5セキュリティ機能コミュニティの能力と発展を支援する措置を確立する。 |
| 5. Roles of other government organizations | 5. その他の政府組織の役割 |
| 5.1This section identifies key government organizations in relation to this policy. In and of itself, this section does not confer any authority. | 5.1本節では、本方針に関連する主要な政府組織を特定する。それ自体、本節はいかなる認可も与えるものではない。 |
| 5.2This section identifies lead security agencies and/or internal enterprise service organizations that have a leadership and support role in relation to this policy and contribute to the achievement of government security policy objectives. The responsibilities of each organization are identified, in accordance with its mandate, including the principal internal enterprise services provided. | 5.2本節では、本方針に関連して指導的役割と支援的役割を果たし、政府のセキュリティ政 策目標の達成に貢献する、主導的なセキュリティ機関および/または内部エンタープライズサ ービス組織を特定する。各組織の責任は、提供される主な内部エンタープライズ・サービスを含め、その職務権限に従って特定される。 |
| 5.3The Canadian Security Intelligence Service is responsible for the following: | 5.3カナダ安全保障情報局は、以下の責任を負う: |
| 5.3.1Providing government-wide services in security screening; | 5.3.1安全保障審査における政府全体のサービスの提供、 |
| 5.3.2Fulfilling government-wide functions by investigating and analyzing threats to the security of Canada and by providing related reporting and advice to the Government of Canada; and | 5.3.2カナダの安全保障に対する脅威を調査・分析し、関連する報告および助言をカナダ政府に提供することによ り、政府全体の機能を果たす、 |
| 5.3.3Maintaining a central registry for the retention of forms that designate persons permanently bound to secrecy under the Security of Information Act. | 5.3.3情報保全法に基づき永続的に秘密保持義務を負う者を指定する書式の保管のための中央登録簿を維持する。 |
| 5.4Communications Security Establishment Canada is responsible for the following: | 5.4カナダ通信安全保障庁は以下の責任を負う: |
| 5.4.1Serving as the lead technical authority for information technology (IT) security, including the provision of leadership, advice, services and guidance for technical matters related to IT security | 5.4.1情報技術(IT)セキュリティの主導的技術当局としての役割(ITセキュリティに関連する技術的事項に関する指導、助言、サービスおよびガイダンスの提供を含む) |
| 5.4.2Helping to ensure the protection of electronic information and of information infrastructures of importance to the Government of Canada; | 5.4.2カナダ政府にとって重要な電子情報および情報インフラの保護の確保に貢献する |
| 5.4.3Fulfilling the following government-wide functions: | 5.4.3以下の政府全体の機能を果たす: |
| 5.4.3.1Identifying emerging cyber threats; | 5.4.3.1新たなサイバー脅威の特定、 |
| 5.4.3.2Defending government networks and systems; and | 5.4.3.2政府のネットワークおよびシステムの防御、 |
| 5.4.3.3Protecting against, and mitigating potential impacts of, cyber security events; | 5.4.3.3サイバーセキュリティ事象からの防御、および潜在的な影響の緩和、 |
| 5.4.4Leading the development of trusted sources of supply for government and critical infrastructure, and mitigating the risk of untrusted equipment; | 5.4.4政府および重要インフラ向けの信頼できる供給源の開発を主導し、信頼できない機器のリスクを緩和する、 |
| 5.4.5Serving as the national authority for communications security (COMSEC), including the procurement, distribution, control and use of cryptographic devices and encryption keying material for national security systems; and | 5.5.4.5国家安全保障システム用の暗号装置および暗号鍵材料の調達、配布、管理および使用を含む、コミュニケーション・セキュリティー(COMSEC)の国家認可機関としての役割を果たす。 |
| 5.4.6Serving as Canada’s national authority for signals intelligence (SIGINT). | 5.4.6シグナルズ・インテリジェンス(SIGINT)のカナダ国家認可機関としての役割を果たす。 |
| 5.5National Defence is responsible for the following: | 5.5国防は以下の責任を負う: |
| 5.5.1Fulfilling government-wide functions for scientific and technological security research, defence intelligence, and investigation of security threats to military systems; | 5.5.1科学技術安全保障研究、国防情報、軍事システムに対する安全保障上の脅威の調査に関する政府全体の機能を果たす。 |
| 5.5.2Providing support to departments in relation to the protection of Government of Canada officials outside Canada, cyber security, and the provision of other security-related services; | 5.5.2カナダ国外におけるカナダ政府関係者の保護、サイバー安全保障、その他の安全保障関連サービスの提供に関連して、各省庁に支援を提供する。 |
| 5.5.3Providing support to Public Safety Canada in relation to the continuity of constitutional government and domestic counterterrorism; | 5. 5.3憲政の継続および国内テロ対策に関連して、カナダ公安省に支援を提供する。 |
| 5.5.4Serving as Canada’s National Distribution Authority for NATO (North Atlantic Treaty Organization); and | 5.5.4NATO(北大西洋条約機構)のカナダ国内配給当局としての役割を果たす。 |
| 5.5.5Serving as Canada’s national authority for Talent-Keyhole (TK) information. | 5.5.5タレント・キーホール(TK)情報のカナダ国内当局としての役割を果たす。 |
| 5.6Global Affairs Canada is responsible for the following: | 5.6グローバル・アフェアーズ・カナダは以下の責任を負う: |
| 5.6.1Providing leadership, advice and guidance regarding security at missions abroad, and conducting Canada’s international relations on matters related to government security; | 5.6.1在外公館の安全保障に関する指導力、助言、ガイダンスを提供し、政府の安全保障に関連する事項に関してカナダの国際関係を行う。 |
| 5.6.2Fulfilling government-wide functions related to security developments abroad, and providing services to departments abroad to ensure security at missions; and | 5.6.2在外安全保障の進展に関する政府全体の機能を果たし、在外公館の安全保障を確保するために在外部局にサービスを提供する。 |
| 5.6.3Serving as Canada’s National Security Authority for NATO. | 5.6.3NATOに関するカナダの国家安全保障当局としての役割を果たす。 |
| 5.7The Privy Council Office is responsible for the following: | 5.7枢密院事務局は以下の責任を負う: |
| 5.7.1Establishing policy direction for the security of Cabinet confidences; | 5.7.1内閣の機密保持に関する方針の方向性を確立する; |
| 5.7.2Fulfilling the following government-wide functions: | 5.7.2以下の政府全体の機能を果たす: |
| 5.7.2.1Ensuring that national security objectives are reflected in government-wide security policy governance; | 5.7.2.1国家安全保障の目標が政府全体の安全保障政策ガバナンスに反映されていることを確認すること、 |
| 5.7.2.2Providing advice and guidance on implementing security readiness levels in emergency and increased threat situations; and | 5.7.2.2緊急時および脅威増大時の安全保障準備レベルの実施に関する助言とガイダンスを提供すること、 |
| 5.7.2.3Providing strategic leadership to coordinate responses to operational security matters facing the government that are of national, intergovernmental or international importance; and | 5.7.2.3国家、政府間、または国際的に重要な、政府が直面する運用上の安全保障問題への対応を調整するための戦略的リーダーシップを提供すること、 |
| 5.7.3Providing advice on recommendations from the Security Intelligence Review Committee regarding the security clearance of individuals. | 5.7.3個人のセキュリティ・クリアランスに関する安全保障情報検討委員会からの勧告に関する助言を提供すること。 |
| 5.8Public Safety Canada is responsible for the following: | 5.8カナダ公安庁は以下の責任を負う: |
| 5.8.1Providing leadership, technical advice and guidance for matters related to business continuity management; | 5.8.1事業継続管理に関連する事項について、指導力、技術的助言、ガイダンスを提供する。 |
| 5.8.2Providing operational leadership for the coordination, information sharing and situational awareness relating to security events involving multiple Federal Departments or Agencies that may have government-wide, intergovernmental, critical infrastructure or national impacts; | 5.8.2政府全体、政府間、重要インフラ、または国家に影響を及ぼす可能性のある複数の連邦省庁が関与する安全保障事象に関連する調整、情報共有、状況認識について、業務上の指導力を提供する。 |
| 5.8.3Providing leadership in establishing the necessary arrangements for the continuity of constitutional government in the event of an emergency; and | 5.8.3緊急事態発生時に憲政の継続に必要な取り決めを確立する上で指導力を提供する。 |
| 5.8.4Leading coordination and strategic policy-making on national security and national cyber security matters. | 5.8.4国家安全保障および国家サイバーセキュリティに関する事項について、調整および戦略的政策立案を主導する。 |
| 5.9Public Services and Procurement Canada is responsible for the following: | 5.9カナダ公共サービス・調達省は以下の責任を負う: |
| 5.9.1Providing leadership, advice and guidance for matters related to contract security; | 5.9.1契約セキュリティに関連する事項に関する指導、助言、指針の提供、 |
| 5.9.2Supporting and fulfilling government-wide functions for issuing personal record identifiers (PRI) to departments and agencies and individual agency numbers (IAN) to agencies outside the federal public service, and maintaining the PRI and IAN systems; | 5.9.2各省庁への個人記録識別情報(PRI)の発行、連邦公務員以外の機関への個人機関番号(IAN)の発行、PRIおよびIANシステムの維持に関する政府全体の機能の支援および履行、 |
| 5.9.3Providing emergency procurement and emergency accommodation, and providing security services to help ensure the protection of sensitive information entrusted to Canadian and foreign industry; | 5.9.3緊急調達および緊急宿泊施設の提供、カナダおよび外国の産業界に委託された機密情報の保護を確保するためのセキュリティサービスの提供、 |
| 5.9.4Providing internal enterprise services for contract security, base building security for general-purpose office facilities under its custodial responsibility, and IT security in support of providing and managing certain government-wide applications; and | 5.5.9.4契約セキュリティのための内部エンタープライズ・サービス、その管理責任下にある汎用オフィス施設の基地ビル・セキュリティ、および特定の政府全体アプリケーションの提供・マネージド・セキュリティ・サービス・プロバイダーを支援するITセキュリティの提供、および |
| 5.9.5Serving as the government’s national authority for industrial security, and in this capacity, serving as Canada’s Designated Security Authority for NATO. | 5.9.5産業セキュリティのための政府の国家当局としての役割、およびこの能力において、NATOに対するカナダの指定セキュリティ当局としての役割を果たす。 |
| 5.10The Royal Canadian Mounted Police is responsible for the following: | 5.10カナダ王立騎馬警察は以下の責任を負う: |
| 5.10.1Providing leadership, advice and guidance for matters related to physical security; | 5.10.1物理的安全保障に関する事項の指導、助言、指導の提供、 |
| 5.10.2Fulfilling government-wide functions related to criminal threat intelligence and criminal investigations; and | 5.10.2犯罪脅威情報および犯罪捜査に関する政府全体の機能の遂行、 |
| 5.10.3Providing government-wide services related to security screening, technical surveillance countermeasures, and safeguarding of designated persons. | 5.10.3安全審査、技術的監視対策、指定された人物の保護に関する政府全体のサービスの提供。 |
| 5.11Shared Services Canada is responsible for the following: | 5.11共有サービス・カナダは以下の責任を負う: |
| 5.11.1Planning, designing, building, operating and maintaining effective, efficient and responsive enterprise IT security infrastructure services to secure Government of Canada data and systems under its responsibility. | 5.11.1カナダ政府のデータおよびシステムを保護するため、効果的、効率的かつ迅速なエンタープライズITセキュリティ・インフラ・サービスを計画、設計、構築、運用、維持する。 |
| 5.12The Treasury Board of Canada Secretariat is responsible for the following: | 5.12カナダ財務省事務局は、以下の責任を負う: |
| 5.12.1Establishing and overseeing a whole-of-government approach to Security management as a key component of all management activities by ensuring the conduct of periodic reviews of the effectiveness of security support services, to provide assurance that they continue to meet the needs of the government as a whole; | 5.12.1セキュリティ・サポート・サービスの有効性に関する定期的なレビューを確実に実施し、セキュリティ・サポート・サービスが政府全体のニーズを満たし続けていることを保証することにより、すべての管理活動の重要な要素として、セキュリティ管理に対する政府全体のアプローチを確立し、監督する。 |
| 5.12.2Providing policy leadership, advice and guidance for all matters related to government Security; | 5.12.2政府のセキュリティに関連するすべての事項について、政策上のリーダーシップ、助言およびガイダンスを提供する。 |
| 5.12.3Providing strategic policy oversight and coordination for the management of security events that may affect the government as a whole. | 5.12.3政府全体に影響を及ぼす可能性のあるセキュリティ事象の管理について、戦略的な政策監督および調整を提供する。 |
| 6. Application | 6. 適用 |
| 6.1The Policy on Government Security and its supporting instruments apply to departments as defined in section 2 and entities included in Schedules IV and V of the Financial Administration Act (FAA), unless excluded by specific acts, regulations or orders in council. | 6.1政府の安全保障に関する方針およびその付属文書は、特定の法律、規則または議会命令によって除外されない限り、第2項で定義される部局、および財政管理法(FAA)の別表IVおよびVに含まれる事業体に適用される。 |
| 6.2The heads of the following organizations are solely responsible for monitoring and ensuring compliance with this policy within their organizations: | 6.2以下の組織の長は、その組織内で本方針を監視し、遵守を確保することに単独で責任を負う: |
| Office of the Auditor General of Canada | カナダ監査総監室 |
| Office of the Chief Electoral Officer | 統括選挙管理官事務所 |
| Office of the Commissioner of Lobbying of Canada | カナダロビー活動コミッショナー事務所 |
| Office of the Commissioner of Official Languages | カナダ公用語コミッショナー事務所 |
| Office of the Information Commissioner of Canada | カナダ情報コミッショナー事務所 |
| Office of the Privacy Commissioner of Canada | カナダプライバシー・コミッショナー事務所) |
| Office of the Public Sector Integrity Commissioner of Canada | カナダ公共部門清廉性コミッショナー事務所 |
| 6.3Subsection 4.1.9 of this policy applies only to interdepartmental agreements pursuant to subsection 29.2 of the Financial Administration Act and to arrangements with Crown corporations, other orders of government, the private sector or other entities that are not governed by this policy, where the department has the authority to enter into such an agreement or arrangement. | 6.3本方針の4.1項9号は、カナダ国内においてのみ適用される。 9 本方針は、財政管理法第29.2項に基づく部局間協定、および本方針の適用を受けない政府公社、他の政令、民間部門、または他の事業体との取り決めであって、当該部局が当該協定または取り決めを締結する認可を有する場合にのみ適用される。 |
| 6.4Ministers of the Crown, ministers, and Ministers of State are responsible for the security of their staff and offices and for the security of sensitive information and assets in their custody, as directed by the Prime Minister. | 6.4 国王任命大臣、閣僚、および国務大臣は、首相の指示に従い、その職員および事務所のセキュリティ、ならびにその保管する機密情報および資産のセキュリティに責任を負う。 |
| 7. Consequences of non-compliance | 7. 不遵守の結果 |
| 7.1For an outline of the consequences of non‑compliance, refer to the Framework for Management of Compliance (Appendix C: Consequences for Institutions and Appendix D: Consequences for Individuals). | 7.1 コンプライアンス違反の結果の概要については、コンプライアンス管理の枠組み(附属書C: 機構に対する結果及び附属書D: 個人に対する結果)を参照のこと。 |
| 8. References | 8. 参考文献 |
| 8.1Legislation | 8.1法律 |
| Access to Information Act | 情報アクセス法 |
| Canada Labour Code | カナダ労働法 |
| Canada Occupational Health and Safety Regulations | カナダ労働安全衛生規則 |
| Canadian Charter of Rights and Freedoms | カナダ権利自由憲章 |
| Criminal Code | 刑法 |
| Emergency Management Act | 緊急事態管理法 |
| Financial Administration Act | 財務管理法 |
| Official Languages Act | 公用語法 |
| Privacy Act | プライバシー法 |
| Public Service Employment Act | 公共サービス雇用法 |
| Federal Public Sector Labour Relations and Employment Board Act | 連邦公共部門労働関係・雇用委員会法 |
| Security of Information Act | 情報の安全保障法 |
| Security of Canada Information Sharing Act | カナダ情報共有の安全保障法 |
| 8.2Related policy instruments | 8.2関連政策文書 |
| Contracting Policy | 契約方針 |
| Foundation Framework for Treasury Board Policies | 財務委員会方針の枠組み |
| Framework for the Management of Compliance | コンプライアンス管理の枠組み |
| Framework for the Management of Risk | リスクマネジメントの枠組み |
| Policy on Information Management | 情報管理に関する方針 |
| Policy on Investment Planning: Assets and Acquired Services | マネジメントの枠組み 資産および取得サービス |
| Policy on Management of Information Technology | 情報技術の管理に関する方針 |
| Policy on Management of Materiel | 物資の管理に関する方針 |
| Policy on the Management of Projects | プロジェクトの管理に関する方針 |
| Policy on Management of Real Property | 不動産の管理に関する方針 |
| Policy on Occupational Safety and Health | 労働安全衛生に関する方針 |
| Policy on Results | 成果に関する方針 |
| Policy on Service | サービスに関する方針 |
| Values and Ethics Code for the Public Sector | 公共部門の価値観および倫理規定 |
| 9. Enquiries | 9. 問い合わせ |
| 9.1Members of the public may contact Treasury Board of Canada Secretariat Public Enquiries for information about this policy. | 9.1一般市民は、本方針に関する情報をカナダ財務省事務局一般問い合わせ窓口に問い合わせることができる。 |
| 9.2Individuals from departments should contact their departmental security management group for information about this policy. | 9.2各部門の個人は、本方針に関する情報を各部門のセキュリティ管理グループに問い合わせること。 |
| 9.3Individuals from the departmental security group may contact the Security Policy Division at the Treasury Board of Canada Secretariat by email at SEC@tbs-sct.gc.ca for interpretation of any aspect of this policy. | 9.3部局のセキュリティ・グループの個人は、本方針のいかなる側面に関する解釈についても、カナダ財務省事務局セキュリティ・ポリシー課(SEC@tbs-sct.gc.ca)に電子メールで問い合わせることができる。 |
| Appendix A: Security Controls | 附属書A:セキュリティ管理 |
| This appendix describes the security controls that are mentioned in subsection 4.1.5 of this policy. | この附属書では、本ポリシーの4.1.5項に記載されているセキュリティ管理について説明する。 |
| A.1Security screening is conducted in a way that is effective, rigorous, consistent and fair to provide reasonable assurance that individuals can be trusted to safeguard government information and assets and can reliably conduct their work duties, and to enable transferability of security screening between departments. | A.1セキュリティ・スクリーニングは、効果的、厳格、一貫性があり、公正な方法で実施され、 政府の情報および資産を保護し、職務を確実に遂行するために個人を信頼できるという合理的な 保証を提供し、部門間でのセキュリティ・スクリーニングの移管を可能にする。 |
| A.2Information technology security requirements, practices and controls are defined, documented, implemented, assessed, monitored and maintained throughout all stages of an information system’s life cycle to provide reasonable assurance that information systems can be trusted to adequately protect information, are used in an acceptable manner, and support government programs, services and activities. | A.2情報システムのライフサイクルの全段階を通じて、情報技術セキュリ ティ要件、慣行、統制が定義、文書化、実施、防御、評価、監視、維持され、 情報システムが情報を適切に保護し、許容される方法で使用され、政府のプログラ ム、サービス、活動を支援するために信頼できることを合理的に保証する。 |
| A.3Physical security requirements, practices and controls are defined, documented, implemented, assessed, monitored and maintained throughout all stages of the real property and materiel management life cycles to provide reasonable assurance that individuals, information and assets are adequately protected, thereby supporting the delivery of government programs, services and activities. | A.3個人、情報及び資産が適切に保護され、それによって政府のプログラム、サービス・プロ バイダー及び活動の提供を支援する合理的な保証を提供するために、不動産及び資産管理のライ フサイクルの全段階を通じて、物理的セキュリティ要件、慣行及び管理が定義され、文 書化され、実施され、アセスメントされ、監視され、維持される。 |
| A.4Business continuity management is conducted systematically and comprehensively to provide reasonable assurance that in the event of a disruption, the department can maintain an acceptable level of delivery of critical services and activities, and can achieve the timely recovery of other services and activities. | A.4事業継続管理は、中断が発生した場合でも、重要なサービスや活動の許容可能な提供レベルを維持し、その他のサービスや活動を適時に復旧できる合理的な保証を提供するために、体系的かつ包括的に実施される。 |
| A.5Information management security requirements, practices and controls are defined, documented, implemented, assessed, monitored and maintained throughout all stages of the information life cycle to provide reasonable assurance that information is adequately protected in a manner that respects legal and other obligations and balances the risk of injury and threats with the cost of applying safeguards. | A.5情報のライフサイクルの全段階を通じて、情報マネジメントのセキュリティ要件、慣行、統制が定義され、文書化され、実施され、リスクアセスメントされ、監視され、維持されることで、法的義務及びその他の義務を尊重し、傷害及び脅威のリスクと保護措置を適用するコストとのバランスを考慮した方法で、情報が適切に保護されているという合理的な保証を提供する。 |
| A.6Security requirements associated with contracts and other arrangements are identified and documented, and related security controls are implemented and monitored throughout all stages of the contracting or arrangement process to provide reasonable assurance that information, individuals, assets and services associated with the contract or arrangement are adequately protected. | A.6契約及びその他の取決めに関連するセキュリティ要件が特定され、文書化され、契約又は取決めプロセスの全段階を通じて関連するセキュリティ管理が実施され、監視されることにより、契約又は取決めに関連する情報、個人、資産及びサービスが適切に保護されているという合理的な保証が提供される。 |
| A.7Security event management practices are defined, documented, implemented and maintained to monitor, respond to and report on threats, vulnerabilities, security incidents and other security events, and ensure that such activities are effectively coordinated within the department, with partners and government-wide, to manage potential impacts, support decision-making and enable the application of corrective actions. | A.7脅威、脆弱性、セキュリティインシデント、その他のセキュリティ事象を監視し、対応し、報告するために、セキュリティ事象管理の慣行が定義され、文書化され、実施され、維持され、潜在的な影響を管理し、意思決定を支援し、是正措置の適用を可能にするために、そのような活動が部内、パートナー、政府全体で効果的に調整されるようにする。 |
| A.8Security awareness and training is conducted systematically and comprehensively to ensure that individuals are informed of their security responsibilities and maintain the necessary knowledge and skills to effectively carry out their functions, and to provide reasonable assurance that individuals will not knowingly compromise security and that they understand the potential consequences of not meeting their security responsibilities. | A.8セキュリティ意識向上およびトレーニングが体系的かつ包括的に実施され、個々人がセ キュリティに関する自らの責任を知らされ、その職務を効果的に遂行するために必要な知識 と技能を維持することを確実にし、また、個々人が故意にセキュリティを危うくすることはな く、セキュリティに関する責任を果たさない場合に生じ得る結果を理解することを合理的に保証する。 |
| Appendix B: Definitions | 附属書B: 定義 |
| authoritative source (source autorisée) | 権威ある情報源(source autorisée) |
| A collection or registry of records maintained by an authority that meets established criteria. | 認可機関が管理する記録のコレクションまたは登録簿で、確立された規準を満たすもの。 |
| base building security(sécurité de l’immeuble de baseé) | ベース・ビルディング・セキュリティ(sécurité de l'immeuble de baseé) |
| Security safeguards provided by a building custodian to protect the building’s structure and supporting infrastructure. | ビルの構造およびそれを支えるインフラを保護するために、ビルの管理者が提供するセキュリ ティ保護措置。 |
| compromise (compromission) | 漏えい(compromission) |
| A breach of government security. Includes but is not limited to: | 政府のセキュリティ違反。以下を含むが、これらに限定されない: |
| unauthorized access to, disclosure, modification, use, interruption, removal, or destruction of sensitive information or assets, causing a loss of confidentiality, integrity, availability or value; | 機密情報または資産への不正アクセス、開示、修正、使用、中断、除去、または破壊により、機密性、完全性、可用性、または価値の喪失を引き起こすこと。 |
| any action, conduct, threat or gesture of a person toward an employee in the workplace or an individual within federal facilities that caused harm or injury to that employee or individual; and | 職場の職員または連邦施設内の個人に対する人の行動、行為、脅迫、またはジェスチャーにより、その職員または個人に危害または傷害を与えること。 |
| an event causing a loss of integrity or availability of government services or activities. | 政府サービスまたは活動の完全性または可用性の喪失を引き起こす事象。 |
| critical service or activity (service ou activité critique) | クリティカル・サービスまたは活動(service ou activité critique) |
| A service or activity whose disruption would result in a high or very high degree of injury to the health, safety, security or economic well-being of Canadians or to the effective functioning of the Government of Canada. | カナダ人の健康、安全、セキュリティ、経済的福利、またはカナダ政府の効果的な機 能に対して、その中断が重大または非常に重大な損害をもたらすサービスまたは活動。 |
| evidence of identity ( preuve de l’identité) | 身分証明書(preuve de l'identité) |
| A record from an authoritative source indicating an individual’s identity. There are two categories of evidence of identity: foundational and supporting. | 個人の身元を示す権威ある情報源からの記録。ID の証拠には、基礎となるものと裏付けるものの 2 つのカテゴリーがある。 |
| foundational evidence of identity (preuve de l’identité essentielle) | 身元の基礎的証拠(preuve de l'identité essentielle) |
| Evidence of identity that establishes core identity information such as given name(s), surname, date of birth, and place of birth. Examples are records of birth, immigration or citizenship from an authority with the necessary jurisdiction. | 名、姓、生年月日、出生地などの中核的身元情報を立証する身元の証拠。例としては、必要な管轄権を持つ当局からの出生、入国、または市民権の記録がある。 |
| government security (sécurité du gouvernement) | 政府セキュリティ(sécurité du gouvernement) |
| The assurance that: | 以下のアシュアランス |
| information and assets that support government programs are protected throughout their life cycle against threats to their confidentiality, integrity, availability or value; | 政府プログラムを支援する情報および資産は、そのライフサイクルを通じて、機密性、完全性、可用性、または価値に対する脅威から保護される。 |
| employees in the workplace and individuals within federal facilities are protected against actions, conduct, threats or gestures of persons that could cause them harm or injury; | 職場の職員および連邦施設内の個人は、危害や傷害を与える可能性のある人物の行動、行為、脅威、またはジェスチャーから保護される。 |
| continuity of government operations can be maintained during situations that may disrupt normal operations; and | 通常業務を中断させる可能性のある状況においても、政府業務の継続性を維持できる。 |
| the Government of Canada can maintain the delivery of programs and services in the presence of threats to their integrity or availability. | 完全性または可用性に対する脅威が存在する場合でも、カナダ政府はプログラムやサービスの提供を維持できる。 |
| internal enterprise services (services internes intégrés) | 内部エンタープライズ・サービス(services internes intégrés) |
| A service provided by a Government of Canada department to other Government of Canada departments intended on a government-wide basis. | カナダ政府省庁が他のカナダ政府省庁に提供する、政府全体を対象としたサービス。 |
| internal enterprise service organization (organisation de services internes intégrés) | 内部エンタープライズ・サービス組織(organization de services internes intégrés) |
| A department or organization that provides internal enterprise services to other Government of Canada departments. This includes lead security agencies that deliver government-wide security services. | カナダ政府の他の部局に内部エンタープライズ・サービスを提供する部局または組織。これには、政府全体のセキュリティ・サービスを提供する主 要セキュリティ機関が含まれる。 |
| identity (identité) | 識別情報(identité) |
| A reference or designation used to distinguish a unique individual, organization or device. | 一意の個人、組織または装置を区別するために使用される参照または呼称。 |
| residual risk (risque résiduel) | 残留リスク(risque résiduel) |
| In the context of the Policy on Government Security, the level of security risk remaining after the application of security controls and other risk mitigation actions. | 「政府セキュリティに関する方針」の文脈では、セキュリティ管理およびその他のリスク緩和措置を適用した後に 残るセキュリティ・リスクのレベル。 |
| security assessment (évaluation de sécurité) | セキュリティ・アセスメント(évaluation de sécurité) |
| The ongoing process of evaluating security practices and controls to establish the extent to which they are implemented correctly, operating as intended, and achieving the desired outcome with respect to meeting defined security requirements. | セキュリティ慣行および管理がどの程度正しく実施され、意図されたとおりに運用され、定義されたセキュリ ティ要件を満たすことに関して望ましい結果を達成しているかを確認するための継続的な評価プロセス。 |
| security authorization(autorisation de sécurité) | セキュリティ認可(autorisation de sécurité) |
| The ongoing process of obtaining and maintaining a security risk management decision and to explicitly accept the related residual risk, based on the results of security assessment. | セキュリティアセスメントの結果に基づき、セキュリティリスク管理の決定を得、維持し、関連する残存リスクを明示的に受け入れるための継続的なプロセス。 |
| security categorization (categorisation de sécurité) | セキュリティカテゴリー化(categorisation de sécurité) |
| The process of assigning a security category to information resources, assets or services based on the degree of injury that could reasonably be expected to result from their compromise. | 情報資源、資産又はサービスに対し、その侵害によって合理的に予想される損害の程度に基づいて、セキュリティカテゴリーを割り当てるプロセス。 |
| security control (mesure de sécurité) | セキュリティ制御(mesure de sécurité) |
| A legal, administrative, operational or technical measure for satisfying security requirements. This term is synonymous with “safeguard.” | セキュリティ要件を満たすための法的、管理的、運用的又は技術的な措置。 |
| security event (événement lié à la sécurité) | セキュリティ事象(événement lié à la sécurité) |
| Any event, act, omission or situation that may be detrimental to government security, including threats, vulnerabilities and security incidents. | 脅威、脆弱性、セキュリティ・インシデントなど、政府のセキュリテ ィを害する可能性のあるあらゆる事象、行為、不作為、状況。 |
| security function(fonction de sécurité) | セキュリティ機能(fonction de sécurité) |
| Activity that directly supports the achievement of government security objectives, including security screening, information technology security, physical security, business continuity management, information management security, security in contracts and other arrangements, security event management, security awareness and training, and the overall management of security (including governance, planning, monitoring and reporting). | セキュリティ審査、情報技術セキュリティ、物理的セキュリティ、事業継続管理、情報管理セキュリティ、契約およびその他の取り決めにおけるセキュリティ、セキュリティイベント管理、セキュリティ意識向上およびトレーニング、セキュリティの全体的管理(ガバナンス、計画、モニタリングおよび報告を含む)を含む、政府のセキュリティ目標の達成を直接支援する活動。 |
| security incident (incident de sécurité) | セキュリティインシデント(incident de sécurité) |
| Any event (or collection of events), act, omission or situation that has resulted in a compromise. | 危殆化をもたらしたあらゆる事象(または事象の集合)、作為、不作為または状況。 |
| security practices (pratiques de sécurité) | セキュリティ慣行(pratiques de sécurité) |
| Processes, procedures and standards that govern the implementation, monitoring and maintenance of security controls. | セキュリティ管理の実施、監視および保守を管理するプロセス、手順および標準。 |
| security requirement (exigence en matière de sécurité) | セキュリティ要件(exigence en matière de sécurité) |
| A requirement that must be satisfied in order to reduce security risks to an acceptable level and/or to meet statutory, regulatory, policy, contractual and other security obligations. | セキュリティリスクを許容可能なレベルまで低減するため、及び/又は、法令、規制、政策、契約その他のセキュリ ティ上の義務を果たすために満たさなければならない要件。 |
| senior official (haut fonctionnaire) | 上級職員(haut fonctionnaire) |
| For the purposes of the Policy on Government Security, individuals designated by the deputy head in the departmental security governance as having overall responsibility for the security aspects of a program, service or activity area or for a security function. Senior officials may include program officials, chief financial officers, chief audit executives, chief information officers, chief privacy officers and other officials designated pursuant to a statutory requirement, Treasury Board policy or other requirement. Senior officials also include individuals designated by the deputy heads of internal enterprise service organizations to oversee their internal enterprise service activities under the Policy on Government Security. | 政府のセキュリティに関する方針」の目的上、プログラム、サービス、活動分野、またはセキュリティ機能のセキュリティ側面について全体的な責任を有するものとして、省庁のセキュリティガバナンスにおいて副責任者によって指名された個人をいう。上級職員には、プログラム担当者、最高財務責任者、最高監査責任者、最高情報責任者、最高プライバシー責任者、その他法定要件、財務省理事会方針、その他の要件に従って指名された職員が含まれる。上級職員には、「政府セキュリティに関する方針」に基づき、内部エンタープライズ・サービス活動を監督するため、内部エンタープライズ・サービス組織の副組織長によって指名された個人も含まれる。 |
| sensitive information or asset(renseignement ou bien de nature délicate) | 機密情報または資産(renseignement ou bien de nature délicate) |
| Information or asset that if compromised would reasonably be expected to cause an injury. This includes all information that falls within the exemption or exclusion criteria under the Access to Information Act and the Privacy Act. This also includes controlled goods as well as other information and assets that have regulatory or statutory prohibitions and controls. | 漏洩した場合、傷害を引き起こすことが合理的に予想される情報または資産。これには、情報アクセス法およびプライバシー法に基づく免除または除外規準に該当するすべての情報が含まれる。また、規制品や、規制上または法律上の禁止事項や規制があるその他の情報や資産も含まれる。 |
| supporting evidence of identity (preuve à l’appui de l’identité) | 身元の裏付けとなる証拠(preuve à l'appui de l'identité) |
| Evidence of identity that corroborates the foundational evidence of identity and assists in linking the identity information to an individual. It may also provide additional information such as a photo, signature or address. | 身元の基礎となる証拠を裏付け、身元情報を個人に結び付けるのを補助する身元の証拠。また、写真、署名、住所などの追加情報を提供する場合もある。 |
| threat (menace) | 脅威(menace) |
| Any potential event or act, deliberate or unintentional, or natural hazard that could result in a compromise. | 危殆化をもたらす可能性のあるあらゆる潜在的な事象または行為、故意または故意でないもの、 あるいは自然災害。 |
| trusted digital identity (identité numérique de confiance) | 信頼されるデジタル ID(identité numérique de confiance) |
| An electronic representation of a person, used exclusively by that same person, to receive valued services and to carry out transactions with trust and confidence. | 価値あるサービスを受け、信頼と信用をもって取引を行うために、その人が排他的に使用する人 の電子的表現。 |
| trust framework (cadre de fiabilité) | 信頼フレームワーク(cadre de fiabilité) |
| In the context of the Directive on Identity Management, a set of agreed on definitions, principles, conformance criteria, assessment approach, standards, and specifications. | ID 管理に関する指令の枠組みでは、合意された定義、原則、適合規準、アセスメン ト手法、標準、および仕様のセット。 |
| vulnerability (vulnérabilité) | 脆弱性(vulnérabilité) |
| A factor that could increase susceptibility to compromise. | 妥協の可能性を高める要因。 |
Comments