ページの先頭です

情報セキュリティポリシー

[2010年9月2日]

1 目的
 本基本方針は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

 

2 定義
(1) 情報資産
  情報資産とは、次のとおりとする。
  1) ネットワーク、情報システム及びこれらに関する設備、記録媒体
  2) ネットワーク及び情報システムで取り扱う情報
  3) 情報システムの仕様書及びネットワーク図等のシステム関連文書
  4) 職員等が職務上作成し、又は取得した文書等

 

情報資産
情報資産の種類情報資産の例
ネットワーク通信回線、ルータ等の通信機器
情報システムモバイル端末等、汎用機、複合機、オペレーティングシステム、ソフトウェア等
ネットワーク及び情報システムに関する施設・設備コンピュータ室、通信分岐盤、配電盤、電源ケーブル、通信ケーブル
記録媒体サーバ、パソコン、サーバ装置、端末、通信回線装置等に内蔵される内蔵記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R、磁気テープ等の外部記録媒体
システム関連文書システム設計書、プログラム仕様書、オペレーションマニュアル、端末管理マニュアル、ネットワーク構成図等
職員等が職務上作成し、又は取得した文書等申請書類、一覧のリスト、図画、写真等

(2) 機密性
 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(3) 完全性
 情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(4) 可用性
 情報にアクセスすることを認められた者が、必要なときに中断されることなく、 情報にアクセスできる状態を確保することをいう。

(5) ネットワーク
 コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア) をいう。

(6) 情報システム
 コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。

(7) 情報セキュリティ
 情報資産の機密性、完全性及び可用性を維持することをいう。

(8) 情報セキュリティインシデント
 情報資産の管理上の脅威となる確率が高い現象や事案を指す。具体的には、ウイルス感染、第三者からの不正アクセスによる侵害、情報システム上の欠陥や誤動作による情報漏洩及び職員等による情報紛失等がある。


3 情報セキュリティポリシーの位置付け
 情報セキュリティポリシーは、情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。


4 情報セキュリティポリシーの構成
 情報セキュリティポリシーの構成は、一定の普遍性を備えた「情報セキュリティ基本方針」と情報資産を取り巻く状況の変化に適切に対応する「情報セキュリティ対策基準」の2階層に分けて策定することとする。


5 対象とする脅威
 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去等

(2) 情報資産の無断持出し、無許可ソフトウェアの使用等の規定違反、プログラム上の欠陥、操作・設定・送付ミス、故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等

 

6 情報セキュリティポリシーの対象範囲
 この情報セキュリティポリシーが対象とする範囲は、市長部局(市民病院は事務局に限る。)、選挙管理委員会事務局、農業委員会事務局、議会事務局、監査委員事務局及び教育委員会事務局とする。


7 職員等の遵守義務
 職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー、情報セキュリティ管理基準及び情報セキュリティ実施手順を遵守しなければならない。

 

8 情報セキュリティ対策
 前記5の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

(1) 組織運営対策
 情報セキュリティ対策を推進するための全庁的な組織体制を確立する。

(2) 情報資産管理対策
 本市の保有する情報資産をその重要度に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

(3) 情報セキュリティ教育・研修対策
 職員等の情報セキュリティポリシーの遵守徹底と情報セキュリティ意識向上を目的とした教育・研修を実施する。

(4) 機器・設備・電算室等管理対策
 自然災害や盗難等から情報資産を適切に管理するため、情報システム機器の設置や設備環境及び電算室等の入退室管理等の対策を講じる。

(5) 情報システム開発対策
 情報システムの調達、開発、導入等に関し、情報セキュリティの確保に必要な対策を講じる。

(6) 情報システム管理対策
 情報システムの運用に関し、情報資産を不正アクセス等から適切に保護するため、アクセス管理、不正プログラム対策等の必要な対策を講じる。

(7) ネットワーク管理対策
 ネットワークを経由した不正アクセス等から、情報資産を適切に保護するため、ネットワーク接続制御等の必要な対策を講じる。

(8) 外部委託管理対策
 外部委託する場合におけるセキュリティ要求事項等を規定し、外部委託に関し必要な対策を講じる。

(9) 情報セキュリティインシデント・セキュリティ侵害対策
 情報セキュリティインシデント・セキュリティ侵害(以下、「インシデント」という。)の発生に備えて、事前の対応策及び再発防止策を規定する。

(10) 情報セキュリティポリシー評価・見直し対策
 情報セキュリティポリシーの遵守状況を定期的に監査及び自己点検を実施し、情報セキュリティポリシーの見直しが必要となった場合や環境の変化に対応する必要がある場合には、情報セキュリティポリシーの見直しを実施する。

(11) 情報セキュリティポリシー遵守対策
 情報セキュリティポリシーの違反を防ぐため、情報セキュリティポリシーの遵守状況の確認、遵守違反を発見した場合の報告義務等の必要な対策を講じる。


9 情報セキュリティ対策基準の策定
 前記8に規定する対策を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。


10 情報セキュリティ管理基準の策定
 情報セキュリティ対策基準をより具体化し、情報セキュリティ実施手順へ反映させることを目的として情報セキュリティ管理基準を策定する。

 

11 情報セキュリティ実施手順の策定
 情報セキュリティ対策基準に基づき、ネットワーク及び情報システムや個人番号及び特定個人情報の取り扱いにおいて、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定する。

 

12 公開の範囲
 情報セキュリティ対策基準、情報セキュリティ管理基準及び情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

 

13 法令遵守
 情報セキュリティに関する法令・ガイドライン等を遵守する。

 

14 問い合わせ先
 情報企画課 電話 0584-47-8249

ご意見をお聞かせください

このページは役に立ちましたか?
このページは見つけやすかったですか?

(注意)お答えが必要なお問合せは、直接担当部署へお願いいたします(こちらではお受けできません)。

お問い合わせ

大垣市企画部情報企画課[大垣市職員会館4階]

電話でのお問い合わせはこちら

お問い合わせフォーム


ページの先頭へ戻る