香取市情報セキュリティ基本方針 1 目的 この基本方針は、香取市が保有する情報資産に関する情報セキュリティを確保するため、本市が実 施する情報セキュリティ対策について基本的な事項を定めることを目的とする。 2 定義 (1) 実施機関 市長(水道事業管理者の権限を行う市長を含む。以下同じ。)、教育委員会、選挙管理委員会、 監査委員会、農業委員会、固定資産評価審査委員会及び議会をいう。 (2) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウ ェア)をいう。 (3) 情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。 (4) 情報資産 ネットワーク及び情報システムの開発と運用に係る全てのデータ並びにネットワーク及び 情報システムで取り扱う全てのデータをいう。 (5) 情報セキュリティ 情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態 を維持することをいう。 (6) 情報セキュリティポリシー 情報セキュリティを確保するための方針、対策基準等を定めたもの(香取市情報セキュリテ ィ基本方針及び香取市情報セキュリティ対策基準)をいう。 (7) 規程 香取市情報化推進及び情報システム管理運営規程(平成 18 年香取市訓令第 12 号)をいう。 (8) サーバ 電子データを蓄えたり提供したりするための装置のことをいう。 (9) 端末 通信回線によってサーバと接続され、又は単独でデータの入力及び出力を行うための装置を いう。 3 職員等及び外部委託事業者の義務 本市が所掌する情報資産に関する業務に携わる全職員、非常勤及び臨時職員(以下、「職員等」 という。)及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに、 業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとし、これに違反した 場合は懲戒処分等の対象とする。 3 4 組織体制 情報セキュリティ対策を推進するため、副市長を最高情報統括責任者とする全庁的な組織体制を 確立するものとする。 5 情報資産の分類と対策 本市の保有する情報資産を機密性、完全性及び可用性の観点からその内容に応じて重要度を分類 し、その重要度に応じた情報セキュリティ対策を行うものとする。 6 情報資産への脅威 情報セキュリティ対策を行う上で、特に認識すべき情報資産に対する脅威は以下のとおりである。 (1) 不正アクセス、ウィルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図 的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の搾取、内部不正等 (2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プ ログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委 託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破 壊・消去等 (3) 地震、落雷、火災、洪水等の災害によるサービス及び業務の停止 (4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等 (5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等 7 情報セキュリティ対策 上記6で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるもの とする。 (1) 物理的セキュリティ対策 サーバ、通信回線、職員等のパソコン等及び情報システム室、職員執務室等の管理について の物理的な対策 (2) 人的セキュリティ対策 情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育研修及び 啓発を行う等の人的な対策 (3) 技術的セキュリティ対策 コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的 対策 (4) 運用対策 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセ キュリティ確保、障害や情報資産に対するセキュリティ侵害が発生した場合の危機管理等の情 報セキュリティポリシーの運用における対策 4 8 情報セキュリティポリシーの評価・見直し (1) 情報セキュリティ監査及び自己点検の実施 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュ リティ監査及び自己点検を実施する。 (2) 情報セキュリティポリシーの見直し 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要とな った場合及び情報セキュリティに関する状況の変化に対応するため新たな対策が必要になっ た場合には、情報セキュリティポリシーの見直しを実施する。 9 情報セキュリティ対策基準の策定 上記7、8及び9に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定め る情報セキュリティ対策基準を策定する。 10 情報セキュリティ実施手順の策定 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定 めた情報セキュリティ実施手順を策定するものとする。 11 情報セキュリティポリシーの公開 情報セキュリティポリシーは本市の情報セキュリティ対策の指針であり、外部に対して情報資産 の取扱いを公開し、約束することによって、住民等の不安が解消できること、更にポリシーを公開 することで職員等の意識向上が図れることから、情報セキュリティポリシーの概要と情報セキュリ ティ基本方針は公開とする。ただし、情報セキュリティ対策基準及び情報セキュリティ実施手順は、 公にすることにより本市の行政運営に重大な支障を及ぼす恐れのあることから非公開とする。 5
© Copyright 2024 ExpyDoc
