情報セキュリティポリシー
[2010年9月2日]
1.目的
本基本方針は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
2.定義
(1)情報資産
情報資産とは、次のとおりとする。
1) ネットワーク、情報システム及びこれらに関する設備、記録媒体
2) ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
3) 情報システムの仕様書及びネットワーク図等のシステム関連文書
| 情報資産の種類 | 情報資産の例 |
|---|---|
| ネットワーク | 通信回線、ルータ等の通信機器 |
| 情報システム | サーバ、パソコン、汎用機、オペレーティングシステム、ソフトウエア等 |
| ネットワーク及び情報システムに関する施設・設備 | コンピュータ室、通信分岐盤、配電盤、電源ケーブル、通信ケーブル |
| 記録媒体 | USBフラッシュメモリ、CD-R、DVD-R、フロッピーディスク、MO、DLT(Digital Linear Tape)等 |
| ネットワーク及び情報システムで取り扱う情報 | ネットワーク、情報システムで取り扱うデータ(これらを印刷した文書を含む。) |
| システム関連文書 | システム設計書、プログラム仕様書、オペレーションマニュアル、端末管理マニュアル、ネットワーク構成図等 |
(2)機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(3)完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(4)可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、 情報にアクセスできる状態を確保することをいう。
(5)ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア) をいう。
(6)情報システム
コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(7)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(8)情報セキュリティ事件・事故
情報資産の管理上の脅威となる現象や事案を指す。具体的には、ウィルス感染、第三者からの不正アクセスによる侵害、情報システム上の欠陥や誤動作による情報漏洩及び職員等による情報紛失等がある。
3.情報セキュリティポリシーの位置付け
情報セキュリティポリシーは、情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
4.情報セキュリティポリシーの構成
情報セキュリティポリシーの構成は、一定の普遍性を備えた「情報セキュリティ基本方針」と情報資産を取り巻く状況の変化に適切に対応する「情報セキュリティ対策基準」の2階層に分けて策定することとする。
5.対象とする脅威
情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
6.情報セキュリティポリシーの対象範囲
この情報セキュリティポリシーが対象とする範囲は、市長その他の執行機関(議会事務局を含む。)とする。
7.職員等の遵守義務
職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー、情報セキュリティ管理基準及び情報セキュリティ実施手順を遵守しなければならない。
8.情報セキュリティ対策
上記5の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1)組織運営対策
情報セキュリティ対策を推進するための全庁的な組織体制を確立する。
(2)情報資産管理対策
本市の保有する情報資産をその重要度に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
(3)情報セキュリティ教育・研修対策
職員等の情報セキュリティポリシーの遵守徹底と情報セキュリティ意識向上を目的とした教育・研修を実施する。
(4)機器・設備・電算室等管理対策
自然災害や盗難等から情報資産を適切に管理するため、情報システム機器の設置や設備環境及び電算室等の入退室管理等の対策を講じる。
(5)情報システム開発対策
情報システムの調達、開発、導入等に関し、情報セキュリティの確保に必要な対策を講じる。
(6)情報システム管理対策
情報システムの運用に関し、情報資産を不正アクセス等から適切に保護するため、アクセス管理、不正プログラム対策等の必要な対策を講じる。
(7)ネットワーク管理対策
ネットワークを経由した不正アクセス等から、情報資産を適切に保護するため、ネットワーク接続制御等の必要な対策を講じる。
(8)外部委託管理対策
外部委託する場合におけるセキュリティ要求事項等を規定し、外部委託に関し必要な対策を講じる。
(9)情報セキュリティ事件・事故対策
情報セキュリティ事件・事故(以下、「事件・事故」という。)の発生に備えて、事前の対応策及び再発防止策を規定する。
(10)情報セキュリティポリシー評価・見直し対策
情報セキュリティポリシーの遵守状況を定期的に監査及び自己点検を実施し、情報セキュリティポリシーの見直しが必要となった場合や環境の変化に対応する必要がある場合には、情報セキュリティポリシーの見直しを実施する。
(11)情報セキュリティポリシー遵守対策
情報セキュリティポリシーの違反を防ぐため、情報セキュリティポリシーの遵守状況の確認、遵守違反を発見した場合の報告義務等の必要な対策を講じる。
9.情報セキュリティ対策基準の策定
上記(8)に規定する対策を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
10.情報セキュリティ管理基準の策定
情報セキュリティ対策基準をより具体化し、情報セキュリティ実施手順へ反映させることを目的として情報セキュリティ管理基準を策定する。
11.情報セキュリティ実施手順の策定
情報セキュリティ対策基準に基づき、ネットワーク及び情報システムや携わる業務において、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定する。
12.公開の範囲
情報セキュリティ対策基準、情報セキュリティ管理基準及び情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。