○海南市情報セキュリティポリシー基本方針

平成20年4月1日

目次

序文

第1章 本書の目的

第1節 本書の目的

第2節 適用範囲

第1項 対象者の範囲

第2項 情報資産の範囲

第3節 用語定義

第2章 基本的な考え方

第1節 組織体制

第1項 情報セキュリティ統括責任者(CISO)

第2項 情報セキュリティ委員会

第2節 情報資産に関する脅威

第3節 情報セキュリティ対策

第3章 情報セキュリティポリシー等の取り扱い

第1節 基本方針

第2節 対策基準

第3節 実施手順

第4章 情報資産

第1節 情報資産の分類

第2節 保護管理要件の決定

第3節 情報資産の取扱い

第5章 人的対策

第1節 職掌上の役割と責任

第1項 市長の役割と責任

第2項 所属長の役割と責任

第3項 職員の役割と責任

第4項 外部委託者の役割と責任

第2節 セキュリティに関する教育

第3節 第三者による情報資産使用に関する方針

第6章 物理的対策

第1節 管理区域

第2節 機器管理

第7章 技術的対策

第1節 識別と認証

第2節 アクセス制御

第3節 不正ソフトウェアからの保護

第8章 開発・運用上の対策

第1節 システム運用管理

第2節 システム開発及び保守

第1項 システム開発と保守におけるセキュリティ

第2項 システム開発環境と保守環境

第9章 緊急時対応計画の策定

第10章 評価・見直し

第1節 点検

第2節 情報セキュリティ監査

第3節 情報セキュリティポリシーの見直し

第11章 ポリシーの遵守

第1節 法令遵守

第2節 罰則

序文

海南市の各情報システムが取り扱う情報には、市民の個人情報のみならず、行政運営上重要な情報など、部外への漏洩、改ざん等が生じた場合には、極めて重大な結果を招く情報が多数含まれている。

したがって、これらの情報及び情報を取り扱う情報システムを様々な脅威から保護することは、市民の財産とプライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが本市に対する市民からの信頼の維持向上に寄与するものである。

そのため本市では、情報資産のセキュリティを保持するため、全庁的な統一方針として「海南市情報セキュリティポリシー」を策定し、職員全員がこれを遵守することとする。

海南市情報セキュリティポリシーは、本市の情報資産をどのような脅威からどのようにして守るのかについての基本的な考え方(基本方針)と基本方針を実現するために遵守すべき行為及び判断等の基準(対策基準)から構成する。

第1章 本書の目的

第1節 本書の目的

本書は、海南市(以下「本市」という。)の職員及び外部委託者など情報資産を扱う者全員が、情報資産を使用するときに従うべき情報セキュリティを守るための基本的な考え方や方向性を定めたものである。

第2節 適用範囲

第1項 対象者の範囲

本市情報セキュリティポリシー(以下「本ポリシー」という。)は、海南市部設置に関する条例(平成17年海南市条例第6号)第1条に定める部並びに議会事務局、下津行政局、出納室、教育委員会事務局、選挙管理委員会事務局、監査委員事務局、農業委員会事務局、土地開発公社事務局、消防本部及び公営企業を対象とする組織とし、これらに属する全ての職員に適用する。

第2項 情報資産の範囲

本ポリシーが対象とする情報資産は、次のとおりとする。

(1) ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

(2) ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

(3) 情報システムの仕様書及びネットワーク図等のシステム関連文書

第3節 用語定義

(1) ネットワーク

本市庁舎内及び出先機関を相互に接続するため、ハードウェア、ソフトウェア及び記録媒体により構成される通信網をいう。

(2) 情報システム

ネットワーク、ハードウェア、ソフトウェア及び記録媒体で構成された情報を処理する仕組みをいう。

(3) 記録媒体

電子情報を保管する記録装置のうち、取り外して使用することが可能なフロッピーディスク、光磁気ディスクその他これらに類するものをいう。

(4) 情報資産

ネットワーク、情報システム及びこれらで取り扱う全ての電磁的データ並びに開発と運用に係る全ての記録をいう。

(5) 重要情報資産

セキュリティ面で何らかの管理が必要な情報資産(使用許可を得た記録媒体等を含む)をいう。

(6) 情報セキュリティ

情報資産の機密性、完全性及び可用性を維持することをいう。

(7) 情報セキュリティポリシー

情報セキュリティ基本方針及び情報セキュリティ対策基準をいう。

(8) 機密性

情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(9) 完全性

情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(10) 可用性

情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

(11) 職員

非常勤職員及び臨時職員を含む全ての職員をいう。

(12) 外部委託者

本市の事務事業の委託を受けたもの及び市の公の施設の指定管理者をいう。

第2章 基本的な考え方

第1節 組織体制

本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。

第1項 情報セキュリティ統括責任者(CISO)

本市における情報セキュリティ対策の統括責任者は、副市長とする。

第2項 情報セキュリティ委員会

情報セキュリティ委員会を設置し、セキュリティ管理に必要な次の事項は、情報セキュリティ委員会で行う。

(1) セキュリティポリシーを管理し、変更が必要と判断された場合は、基本方針、対策基準の見直しを行う。

(2) 本市の情報セキュリティに関する情報を収集し、セキュリティ対策の討議を行い、CISOを補佐する。

(3) 本ポリシーが遵守されていることを監査する。

第2節 情報資産に関する脅威

情報資産に対する脅威の発生度合や発生した場合の影響の大きさを考慮し、以下に掲げるものを特に認識すべき脅威とする。

(1) 外部からの不正アクセス又は不正操作によるデータ若しくはプログラムの持ち出し、盗聴、改ざん並びに消去及び機器並びに記録媒体の盗難等

(2) 職員若しくは外部委託者による誤操作、不正アクセス又は不正操作によるデータ若しくはプログラムの持ち出し、盗聴、改ざん、消去及び機器並びに記録媒体の盗難又は規定外の端末接続によるデータ漏洩等

(3) 地震、津波、落雷、火災又は風水害等の災害によるサービスの停止

(4) 事故、故障又は障害等によるサービスの停止

第3節 情報セキュリティ対策

情報資産の重要度に応じて、情報資産の機密性、完全性及び可用性の3つの側面から、前節で示した脅威に対して情報資産を保護し、これを維持するために重要度に応じた分類をし、当該分類に基づき情報セキュリティ対策を行う。

(1) 人的対策

情報セキュリティに関する権限及び責任を定め、職員に対し本ポリシーの基本方針及び情報セキュリティに関する法令などの内容を周知徹底する等、十分な教育及び啓発が行われるよう必要な対策を講ずる。

(2) 物理的対策

情報システム及びネットワークを設置する区域又は施設への不正な立ち入り及び情報システム、ネットワーク又は情報資産への損傷・妨害等から保護するための物理的な対策を講ずる。

(3) 技術的対策

情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずる。

(4) 開発・運用上の対策

情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講ずる。

(5) 侵害時の対策

緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策を講ずる。

第3章 情報セキュリティポリシー等の取り扱い

第1節 基本方針

市民の個人情報及び行政運営上重要な情報の管理及びセキュリティ対策についての基本的な考え方や方向性を定めるため、「基本方針」を制定する。

基本方針は、外部に対し公開する。

第2節 対策基準

基本方針に基づいた情報セキュリティ対策を講じるに当たって、遵守すべき行為、判断などの基準を統一的に定めるために、必要となる基本要件を明記した「対策基準」を策定する。

対策基準は、情報資産を扱う全ての職員に対し、周知徹底する。

対策基準は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれのある情報であるため、非公開とする。

第3節 実施手順

情報セキュリティポリシーを遵守して情報セキュリティ対策を実施するため個々の部署や情報システムについて、具体的な手順を明記した実施手順を策定するものとする。

実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれのある情報であるため、非公開とする。

第4章 情報資産

第1節 情報資産の分類

所属長は、情報資産を重要度に応じて分類するものとする。必要な場合は、保護管理要件を追加して設定することができる。

第2節 保護管理要件の決定

所属長は、情報資産の保護管理要件を明示し、必要な場合は想定されるリスク及びその対策を明確にしなければならない。

第3節 情報資産の取扱い

情報資産の利用者は、情報資産を定められた重要度に従って取り扱い、所属長が追加して定めた保護管理要件に従わなければならない。

第5章 人的対策

第1節 職掌上の役割と責任

第1項 市長の役割と責任

市長は、セキュリティに関する指針を明らかにし、職員に対してセキュリティ意識を浸透させ、必要な支援をする役割と責任をもつ。

第2項 所属長の役割と責任

所属長は、セキュリティ確保の責任を負い、所属職員及び業務関係者がセキュリティ方針、基準、手順を理解し遵守することを徹底し、かつ管理しなければならない。

また、所属長は、所属職員が退職又は異動する場合において、利用する必要のなくなった全ての情報資産を回収する責任を負うものとする。外部委託者が契約終了した場合もまた同様である。

第3項 職員の役割と責任

職員等は、情報セキュリティポリシー及び所属長の指示を遵守し、情報が不正な手段で取得されること又は不正に使用されることを防止する責任を負うものとする。

職員は、退職又は異動する場合において、利用する必要のなくなった全ての情報資産を所属長に返却しなければならない。

第4項 外部委託者の役割と責任

外部委託者は、契約に基づき情報セキュリティポリシー及び関係する部署の所属長の指示を遵守し、情報を不正な手段で取得し又は不正に使用してはならない。

外部委託者は、契約終了その他の事情により本市の情報資産を取扱うことがなくなった時点で、全ての情報資産を本市に返却しなければならない。

第2節 セキュリティに関する教育

本ポリシーの職員への浸透と情報セキュリティ意識向上のため、情報セキュリティに関する教育プログラムを策定し、それを実施する。

第3節 第三者による情報資産使用に関する方針

所属長は、外部委託者等第三者に本市の情報資産を使用させる場合は、情報セキュリティ上必要な事項については、その第三者と覚書等を締結した上で使用させるものとする。

第6章 物理的対策

第1節 管理区域

重要情報資産をもつ情報システムのサーバ等が存在する区域には物理的な保護エリアを設定し、管理を行うものとする。

第2節 機器管理

情報機器の設置、廃棄及び移動について、適切な管理を行わなければならない。

第7章 技術的対策

第1節 識別と認証

システム利用者には、識別子(ID、カード等)と固有の認証子(パスワード等)を与える。

識別子と認証子は、システム運用上必要な場合を除き他のシステム利用者と共有してはならない。また、識別及び認証を確実に行えるよう、設定間隔、誤入力の取扱いを定め、管理された状態に置かなければならない。

第2節 アクセス制御

情報システムへのアクセスは承認された者のみが可能であるように、制御しければならない。

第3節 不正ソフトウェアからの保護

悪意のあるソフトウェアから保護するため、検出及び防止の管理を行わなければならない。

第8章 開発・運用上の対策

第1節 システム運用管理

管理される情報資産の重要性から判断し、運用手順、事故管理手順が必要とみなされる情報システムについて、文書化された手順を策定し、それに基づいて適切に管理運用しなければならない。

第2節 システム開発及び保守

第1項 システム開発と保守におけるセキュリティ

情報システムは、セキュリティ要件を明確にし、その内容に基づいて開発を行わなければならない。

第2項 システム開発環境と保守環境

開発又はテストに使用するプログラムやデータは厳重に管理し、保護しなければならない。また、開発段階から本番への移行についてはシステム開発規程又は手順を策定し、これに則した方法で行わなければならない。

第9章 緊急時対応計画の策定

主要業務毎に非常時の手順、バックアップ手順及び業務再開手順等を含む緊急時対応計画を策定するものとする。

緊急時対応計画は、定期的に又は必要に応じてテストを実施し、適宜見直さなければならない。

第10章 評価・見直し

第1節 点検

本ポリシーに沿った情報セキュリティ対策が実施されているかどうか、定期的に又は必要に応じて点検を行うものとする。

第2節 情報セキュリティ監査

本ポリシーが遵守されていることを検証するため、定期的に又は必要に応じて監査を行うものとする。

第3節 情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

第11章 ポリシーの遵守

第1節 法令遵守

職務を遂行するに当たっては、使用する情報資産について、関連する法令等を遵守し、これに従わなければならない。

第2節 罰則

職員が、本ポリシーに違反した場合は、その重大性及び発生した事案の状況に応じて地方公務員法その他の法令等の定めにより懲戒処分等の対象とするものとする。

外部委託者が、本ポリシーに違反した場合の対応については、あらかじめ契約に定めておくものとする。

海南市情報セキュリティポリシー基本方針

平成20年4月1日 種別なし

(平成20年4月1日施行)

体系情報
第3編 行政通則/第1章 市長部局/第3節 情報管理
沿革情報
平成20年4月1日 種別なし