よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


【医療機関用】サイバー攻撃を想定したBCP策定の確認表 (3 ページ)

公開元URL https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
出典情報 サイバー攻撃を想定した事業継続計画(BCP)策定の確認表等(6/6)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

サイバー攻撃を想定した事業継続計画(BCP)策定の確認表
※医療機関がBCPを策定する際、最低限必要な事項を網羅しているか、確認のために使⽤するものです
※BCP策定や⾒直しの際にご活⽤ください

項番
1

大項目

確認項目

平時(平時において、⾮常時に備え、サイバーセキュリティの体制整備を⾏う。)
サーバ、端末PC、ネットワーク機器を把握できているか。

1-1

情報機器等の把握と適切な管
理、全体構成図の作成

ネットワーク構成図・システム構成図が整備できているか。
システム停止が事業継続に与える影響を把握できているか。
サーバ、端末PC、ネットワーク機器の脆弱性への対応ができているか。
インシデント発⽣時における組織内と外部関係機関(事業者、厚⽣労働省、警察
等)への連絡体制図が整備できているか。

1-2

非常時に備えたサイバーセキュリ
リスク検知のための情報収集体制が整備できているか。
ティ体制の整備とリスク検知のため
の情報収集
教育訓練が実施できているか。
バックアップの実施と復旧⼿順が確認できているか。

2

検知(医療情報システム等の障害が⾒受けられる場合は、早期に医療情報システム部⾨へ報告し、異常内容の事実確
認を⾏う。)

2-1

システム異常の報告先の把握

異常時の連絡体制図が全職員に把握されているか。また、連絡先等を速やかに取得で
きるか。

2-2

システム異常の検知

院内で発⽣した異常が院内職員によって覚知できるか。

2-3

CSIRT/経営者によるシステム異
常の覚知

院内職員から発出されたサイバー被害情報が組織を通じて速やかにCSIRT(対応
者)ならびに意思決定者まで到達するか。

3

初動対応(迅速に初動対応を進めて、サイバー攻撃による被害拡⼤の防⽌や診療への影響を最⼩限にする。)

3-1

原因調査のため、「ネットワーク機器やケーブル等の調査」
原因調査(必要に応じて事業者
「電源系統、ブレーカー、ハードウェア、ソフトウェア等の調査」等が実施できるか。また、必
に依頼)
要に応じて事業者に依頼できる体制になっているか。

3-2

事業者等への連絡と作業履歴の
事業者等への連絡と作業履歴の確認ができるか。
確認

3-3

被害拡大防止

3-4

経営層への報告、経営層による確 経営層がサイバー攻撃兆候等を認める際の組織内報告を受け、医療情報システム使
認と指示、組織内周知と対応
用中止等の指示を判断できるか。

3-5

被害状況等調査(フォレンジック
調査+証拠保全)と被害状況
等の報告

被害状況等調査(フォレンジック調査+証拠保全)と経営層への被害状況等の報告
ができるか。

3-6

組織対応方針確認と外部関係
機関への報告等の対応

組織対応方針を確認できるか。また、外部関係機関への報告ができるか。

被害拡大防止に向けた対応ができるか。

確認欄