○浅口市情報セキュリティポリシー(一部掲載版)
平成29年3月9日
訓令第1号
浅口市情報セキュリティポリシー(平成25年浅口市訓令第4号)の全部を改正する。
目次
第1章 情報セキュリティ基本方針(第1条―第11条)
第2章 情報セキュリティ対策基準
第1節 組織体制(第12条―第20条)
第2節 情報資産の分類と管理(第21条・第22条)
第3節 情報システム全体の強靭性の向上(第23条―第26条)
第4節 物理的セキュリティ(第27条―第34条)
第5節 人的セキュリティ(第35条―第43条)
第6節 技術的セキュリティ(第44条―第78条)
第7節 運用(第79条―第89条)
第8節 外部サービスの利用(第90条―第93条)
第9節 評価及び見直し(第94条―第99条)
附則
第1章 情報セキュリティ基本方針
(目的)
第1条 市が保有する情報資産の機密性、完全性及び可用性を維持するため、市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
(1) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。
(2) 情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう(コンピュータ単体で構成されるものも含む。)。
(3) 情報資産 情報システムの開発と運用に係る全ての情報並びにネットワーク及び情報システムで取扱う全ての情報をいう。この場合において、情報資産には情報が出力された紙、電磁的記録媒体等の有体物及び情報が蓄積されたパソコン等の機器も含むものとする。
(4) 情報セキュリティポリシー 本基本方針及び情報セキュリティ対策基準をいう。
(5) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(6) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(7) 完全性 情報の破壊、改ざん又は消去されていない状態を確保することをいう。
(8) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(9) 情報セキュリティインシデント 望まない、又は予期しない単独若しくは一連の情報セキュリティ事象であって、情報資産の機密性、完全性、可用性を損ない、業務の遂行を危うくするおそれのあるものをいう。
(10) マイナンバー利用事務系(個人番号利用事務系) 個人番号利用事務(社会保障、地方税、防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。
(11) LGWAN接続系 人事給与、財務会計及び文書管理等LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう。
(12) インターネット接続系 インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(13) 通信経路の分割 LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。
(14) 無害化通信 インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。
(対象とする脅威)
第3条 情報資産に対する脅威として、次に掲げる脅威を想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(対象範囲)
第4条 情報セキュリティポリシー(以下「ポリシー」という。)の対象範囲は、次に掲げる範囲とする。
(1) 市長部局、行政委員会、公営企業及び議会事務局(以下「市長部局等」という。)。教育機関(小学校・中学校・幼稚園・保育園・こども園)が独自に保有・管理する情報システム・情報資産については適用範囲外とするが、これらの機関において使用する市長部局等の情報システム・情報資産については適用範囲内とする。
(2) 市と業務委託を行っている外部委託事業者
(位置付け)
第5条 ポリシーは、市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
(職員等の遵守義務)
第6条 職員、非常勤職員、会計年度任用職員、臨時職員及び派遣職員(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たってポリシー及び実施手順を遵守しなければならない。
(情報セキュリティ対策)
第7条 第3条の脅威から情報資産を保護するために、次に掲げる情報セキュリティ対策を講じる。
(1) 組織体制
市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
(2) 情報資産の分類と管理
市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。
(3) 情報システム全体の強靭性の向上
情報システム全体に対し、次の3段階の対策を講じる。
ア マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。
イ LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を実施する。
ウ インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、都道府県と市区町村のインターネット接続口を集約した上で、自治体情報セキュリティクラウドの導入等を実施する。
(4) 物理的セキュリティ対策
サーバ、コンピュータ室、通信回線及び職員等のパソコン等の管理について、物理的な対策を講じる。
(5) 人的セキュリティ対策
情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(6) 技術的セキュリティ対策
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(7) 運用
情報システムの監視、ポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、ポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速、かつ、適正に対応するため、緊急時対応計画を策定する。
(8) 外部サービスの利用
外部委託する場合には、外部委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、外部委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。
約款による外部サービスを利用する場合には、利用に係る規定を整備し対策を講じる。
ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。
(9) 評価・見直し
ポリシーの順守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施し、運用改善を行い情報セキュリティの向上を図る。ポリシーの見直しが必要な場合は、ポリシーの見直しを行う。
(情報セキュリティ監査及び自己点検の実施)
第8条 ポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(見直しの実施)
第9条 情報セキュリティ監査及び自己点検の結果、ポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、ポリシーの見直しを行うものとする。
(情報セキュリティ対策基準の策定)
第10条 前3条に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
(情報セキュリティ実施手順の策定)
第11条 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順(以下「実施手順」という。)を、各情報システムを所管する課(課に相当する部署を含む。以下同じ。)において策定するものとする。この場合において、情報セキュリティ対策基準及び実施手順は、公にすることにより市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。
第12条~第94条 略(第11条により非公開)
附則
(施行期日)
1 この訓令は、公布の日から施行する。
(経過措置)
2 この訓令の施行の日の前日までに、改正前の浅口市情報セキュリティポリシーの規定によりなされた手続その他の行為は、この訓令の相当規定によりなされたものとみなす。
附則(令和元年9月2日訓令第6号)
この訓令は、公布の日から施行する。
附則(令和2年6月17日訓令第10号)
この訓令は、公布の日から施行し、改正後の浅口市情報セキュリティポリシーの規定は、令和2年4月1日から適用する。
附則(令和5年2月28日訓令第1号)
この訓令は、公布の日から施行する。