大垣市情報セキュリティポリシー
- [2019年1月1日]
- ページ番号 1535
1 目的
本基本方針は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ
対策について基本的な事項を定めることを目的とする。
2 定義
(1) 情報資産
情報資産とは、次のとおりとする。
➀ ネットワーク、情報システム及びこれらに関する設備、記録媒体
➁ ネットワーク及び情報システムで取り扱う情報
➂ 情報システムの仕様書及びネットワーク図等のシステム関連文書
➃ 職員等が職務上作成し、又は取得した文書等
情報資産の種類 | 情報資産の例 |
---|---|
ネットワーク | 通信回線、ルータ等の通信機器 |
情報システム | サーバ、パソコン、モバイル端末等、汎用機、複合機、オペレーティングシステム、ソフトウェア等 |
ネットワーク及び情報システムに関する施設・設備 | コンピュータ室、通信分岐盤、配電盤、電源ケーブル、通信ケーブル |
記録媒体 | サーバ装置、端末、通信回線装置等に内蔵される内蔵記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R、磁気テープ等の外部記録媒体 |
システム関連文書 | システム設計書、プログラム仕様書、オペレーションマニュアル、端末管理マニュアル、ネットワーク構成図等 |
職員等が職務上作成し、又は取得した文書等 | 申請書類、一覧のリスト、図画、写真等 |
(2) 機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(3) 完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(4) 可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく 情報にアクセスできる状態を確保すること
をいう。
(5) ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア) をいう。
(6) 情報システム
コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(7) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(8) 情報セキュリティインシデント
情報資産の管理上の脅威となる確率が高い現象や事案を指す。具体的には、ウイルス感染、第三者からの不正アクセス
による侵害、情報システム上の欠陥や誤動作による情報漏えい及び職員等による情報紛失等がある。
3 情報セキュリティポリシーの位置付け
情報セキュリティポリシーは、情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめ
たものであり、情報セキュリティ対策の頂点に位置するものである。
4 情報セキュリティポリシーの構成
情報セキュリティポリシーの構成は、一定の普遍性を備えた「情報セキュリティ基本方針」と情報資産を取り巻く状況の変
化に適切に対応する「情報セキュリティ対策基準」の2階層に分けて策定することとする。
5 対象とする脅威
情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の
漏えい・破壊・改ざん・消去等
(2) 情報資産の無断持出し、無許可ソフトウェアの使用等の規定違反、プログラム上の欠陥、操作・設定・送付ミス、故障等の
非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
6 情報セキュリティポリシーの対象範囲
この情報セキュリティポリシーが対象とする範囲は、市長部局(市民病院は事務局に限る。)、選挙管理委員会事務局、
農業委員会事務局、議会事務局、監査委員事務局及び教育委員会事務局とする。
7 職員等の遵守義務
職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー、情報
セキュリティ管理基準及び情報セキュリティ実施手順を遵守しなければならない。
8 情報セキュリティ対策
前記5の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1) 組織運営対策
情報セキュリティ対策を推進するための全庁的な組織体制を確立する。
(2) 情報資産管理対策
本市の保有する情報資産をその重要度に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
(3) 情報システム全体の強靭性
情報システム全体に対し、次の三段階の対策を講じる。
➀ マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出
し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。
➁ LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報システムと通信経路
の分割をする。なお、両システム間で通信する場合には、無害化通信を実施する。
➂ インターネット接続系においては、不正通信監視機能強化等の高度な情報セキュリティ対策を実施する。高度な情報セ
キュリティ対策として、岐阜県と市町村のインターネット接続口を集約した上で、自治体情報セキュリティクラウドを導入等
する。
(4) 情報セキュリティ教育・研修対策
職員等の情報セキュリティポリシーの遵守徹底と情報セキュリティ意識向上を目的とした教育・研修を実施する。
(5) 機器・設備・電算室等管理対策
自然災害や盗難等から情報資産を適切に管理するため、情報システム機器の設置や設備環境及び電算室等の入退室
管理等の対策を講じる。
(6) 情報システム開発対策
情報システムの調達、開発、導入等に関し、情報セキュリティの確保に必要な対策を講じる。
(7) 情報システム管理対策
情報システムの運用に関し、情報資産を不正アクセス等から適切に保護するため、アクセス管理、不正プログラム対策等
の必要な対策を講じる。
(8) ネットワーク管理対策
ネットワークを経由した不正アクセス等から、情報資産を適切に保護するため、ネットワーク接続制御等の必要な対策を
講じる。
(9) 外部委託等管理対策
業務を外部委託する場合又は指定管理者に実施させる場合(以下、「外部委託等」という。)におけるセキュリティ要求事
項等を規定し、外部委託に関し必要な対策を講じる。
(10) 情報セキュリティインシデント・セキュリティ侵害対策
情報セキュリティインシデント・セキュリティ侵害(以下、「インシデント」という。)の発生に備えて、事前の対応策及び再
発防止策を規定する。
(11) 情報セキュリティポリシー評価・見直し対策
情報セキュリティポリシーの遵守状況を定期的に監査及び自己点検を実施し、情報セキュリティポリシーの見直しが必要
となった場合や環境の変化に対応する必要がある場合には、情報セキュリティポリシーの見直しを実施する。
(12) 情報セキュリティポリシー遵守対策
情報セキュリティポリシーの違反を防ぐため、情報セキュリティポリシーの遵守状況の確認、遵守違反を発見した場合の
報告義務等の必要な対策を講じる。
9 情報セキュリティ対策基準の策定
前記8に規定する対策を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定す
る。
10 情報セキュリティ管理基準の策定
情報セキュリティ対策基準において、記録などで管理するよう規定した事項を具体化し、情報セキュリティ実施手順へ反映
させることを目的として情報セキュリティ管理基準を策定する。
11 情報セキュリティ実施手順の策定
情報セキュリティ対策基準に基づき、ネットワーク及び情報システム、個人番号及び特定個人情報並びにそれらに準ずるも
のの取り扱いにおいて、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定す
る。
12 公開の範囲
情報セキュリティ対策基準、情報セキュリティ管理基準及び情報セキュリティ実施手順は、公にすることにより本市の行政
運営に重大な支障を及ぼすおそれがあることから非公開とする。
13 法令遵守
情報セキュリティに関する法令・ガイドライン等を遵守する。
14 問い合わせ先
情報企画課 電話 0584-47-8249
大垣市情報セキュリティポリシー