○南砺市情報セキュリティ対策規程

平成16年11月1日

訓令第7号

(目的)

第1条 この訓令は、情報資産及び情報資産を取り扱うネットワーク及び情報システムを様々な脅威から防御するための基本方針を定めることにより、住民の財産、プライバシー等を守るとともに、事務の安定的な運営を図り、市民からの信頼の向上に寄与することを目的とする。

(定義)

第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) ネットワーク

市長部局(各出先機関を含む。)、教育委員会事務局(各出先機関も含む。)、議会事務局その他市長が認めた機関を相互に接続するための通信網及びその構成機器(ハードウエア及びソフトウエア)をいう。

(2) 情報システム

業務系の電子計算機(業務系におけるネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。

(3) 情報資産

ネットワーク及び情報システムの開発及び運用に係るすべての情報並びにネットワーク及び情報システムで取り扱うすべての情報をいう。なお、情報資産には紙等の有体物に出力された情報を含むものとする。

(4) 情報セキュリティ

情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。

(この訓令の位置付け並びに職員等及び外部委託事業者の義務)

第3条 この訓令は、市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。

2 市長をはじめとして市が所掌する情報資産に関する業務に携わるすべての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たってこの訓令を遵守する義務を負うものとする。

(情報セキュリティ管理体制)

第4条 市の情報資産について、情報セキュリティ対策を推進し、及び管理するための体制を確立するものとする。

(情報資産の分類)

第5条 情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。

(情報資産への脅威)

第6条 情報資産に対する脅威の発生度合又は発生した場合の影響を考慮すると、特に認識すべき脅威は、次のとおりである。

(1) 部外者の侵入による機器又は情報資産の破壊又は盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊、盗聴、改ざん、消去等

(2) 職員等又は外部委託事業者による機器又は情報資産の持ち出し、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊、盗聴、改ざん、消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏洩等

(3) コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止

(情報セキュリティ対策)

第7条 前条各号で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。

(1) 物理的セキュリティ対策

情報システムを設置する施設への不正な立入り、情報資産への損傷、妨害等から保護するための物理的な対策

(2) 人的セキュリティ対策

情報セキュリティに関する権限又は責任を定め、すべての職員等及び外部委託事業者にこの訓令の内容を周知徹底する等十分な教育及び啓発が講じられるようにするために必要な対策

(3) 技術及び運用におけるセキュリティ対策

情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、また、システム開発等の外部委託、ネットワークの監視、この訓令の遵守状況の確認等、運用面の対策及び緊急事態が発生した際に迅速な対応を可能とするための危機管理対策

(情報セキュリティ対策基準の策定)

第8条 市の様々な情報資産について、前条各号の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

(情報セキュリティ実施手順の策定)

第9条 情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定めていく必要がある。そのため、情報資産に対する脅威及び情報資産の重要度に対応する情報セキュリティ対策基準の基本的な要件に基づき、内部部局の長等が所掌する情報資産の情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティ実施手順は、公にすることにより市の行政運営に重大な支障を及ぼす恐れのある情報資産である場合もあり、原則非公開とする。

(情報セキュリティ監査の実施)

第10条 この訓令が遵守されていることを検証するため、随時監査を実施する。

(評価及び見直しの実施)

第11条 情報セキュリティ監査の結果等により、この訓令に定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、この訓令の見直しを行うものとする。

附 則

この訓令は,平成16年11月1日から施行する。

南砺市情報セキュリティ対策規程

平成16年11月1日 訓令第7号

(平成16年11月1日施行)