○宇土市情報セキュリティ基本方針

平成27年12月28日

告示第105号

宇土市情報セキュリティ基本方針(平成19年告示第42号)の全部を改正する。

序文

宇土市情報セキュリティポリシーとは,宇土市が保有する情報資産を漏えい,改ざん等の脅威から防御するためのセキュリティ対策について,総合的,体系的かつ具体的に取りまとめたものの総称である。

宇土市情報セキュリティポリシーは,宇土市の情報資産を取り扱う全職員が十分に理解し,遵守すべきものであるため,安定的な規範であることが要請される。しかし一方では,情報の処理技術や通信技術等の進展に伴う急速な状況の変化に,柔軟に対応することも必要である。

このようなことから,宇土市情報セキュリティポリシーは,一定の普遍性を備えた「情報セキュリティ基本方針」と,情報資産を取り巻く状況の変化に適切に対応する「情報セキュリティ対策基準」とに分けて策定することとする。

また,情報セキュリティポリシーに基づき,具体的な情報セキュリティ対策の実施手順(運用マニュアル)として「情報セキュリティ実施手順」を策定することとする。

画像

1 目的

情報セキュリティ基本方針は,宇土市(以下「本市」という。)が保有する情報資産の機密性,完全性及び可用性(※)を維持するため,本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

※ 機密性 情報にアクセスすることが認可された者だけがアクセスできることを確保することをいう。

完全性 情報が破壊,改ざん又は消去されていない状態を確保することをいう。

可用性 情報にアクセスすることを認められた者が,必要なときに中断されることなく,情報にアクセスできる状態を確保することをいう。

2 定義

宇土市情報セキュリティ基本方針における用語の定義は,次に掲げるとおりとする。

(1) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。

(2) 情報システム コンピュータ,ネットワーク及び電磁的記録媒体で構成され,情報の処理を行う仕組みをいう。

(3) 情報セキュリティ 情報資産の機密性,完全性及び可用性を維持することをいう。

(4) 情報資産 住民情報,財務情報,機密情報,技術情報等の業務遂行の過程で生み出される価値あるものをいう。

(5) 職員 本市に在職する正職員(特別職を含む。),非常勤職員及び臨時職員をいう。

3 対象とする脅威

情報資産に対する脅威として,次に掲げる脅威を想定し,情報セキュリティ対策を実施する。

(1) 不正アクセス,ウイルス攻撃,サービス不能攻撃等のサイバー攻撃及び部外者の侵入等の意図的な要因による情報資産の漏えい,破壊,改ざん・消去,重要情報の詐取,内部不正等

(2) 情報資産の無断持ち出し,無許可ソフトウェアの使用等の規程違反,設計・開発の不備,プログラム上の欠陥,操作・設定ミス,メンテナンス不備,内部・外部監査機能の不備,外部委託管理の不備,マネジメントの欠陥,機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3) 地震,落雷,火災等の災害によるサービス及び業務の停止等

(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5) 電力供給の途絶,通信の途絶,水道供給の途絶等のインフラの障害からの波及等

4 適用範囲

(1) 行政機関の範囲 本基本方針が適用される行政機関は,宇土市部設置条例(昭和53年条例第9号)第2条に規定する部,各支所,会計課,宇土市教育委員会事務局組織規則(昭和45年教委規則第11号)第4条に規定する部,選挙管理委員会事務局,監査委員事務局,農業委員会事務局及び議会事務局をいう。

(2) 情報資産の範囲 本基本方針が対象とする情報資産は,次のとおりとする。

ア ネットワーク,情報システム及びこれらに関する設備,電磁的記録媒体

イ ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

ウ 情報システムの仕様書及びネットワーク図等のシステム関連文書

5 職員の遵守義務

職員は,情報セキュリティの重要性について共通の認識を持ち,業務の遂行に当たって情報セキュリティポリシー及び関連する法令等を遵守しなければならない。

6 情報セキュリティ対策

本市の情報資産を上記3の脅威から保護するために,次に掲げる情報セキュリティ対策を講じる。

(1) 組織体制 本市の情報資産について,情報セキュリティ対策を推進する全庁的な組織体制を確立する。

(2) 情報資産の分類と管理 本市の保有する情報資産を機密性,完全性及び可用性に応じて分類し,当該分類に基づき情報セキュリティ対策を行う。

(3) 物理的セキュリティ サーバ等,情報システム室等,通信回線等及び職員のパソコン等の管理について,物理的な対策を講じる。

(4) 人的セキュリティ 情報セキュリティに関し,職員が遵守すべき事項を定めるとともに,十分な教育及び啓発を行う等の人的な対策を講じる。

(5) 技術的セキュリティ コンピュータ等の管理,アクセス制御,不正プログラム対策,不正アクセス対策等の技術的対策を講じる。

(6) 運用 情報システムの監視,情報セキュリティポリシーの遵守状況の確認,外部委託を行う際のセキュリティ確保等,情報セキュリティポリシーの運用面の対策を講じるものとする。また,情報資産への侵害が発生した場合等に迅速かつ適切に対応するため,緊急時対策計画を策定する。

7 情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため,定期又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

8 情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果,情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には,情報セキュリティポリシーを見直す。

9 情報セキュリティ対策基準の策定

上記6,7及び8に規定する対策等を実施するために,具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

10 情報セキュリティ実施手順の策定

(1) 情報セキュリティ対策基準に基づき,情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。

(2) 情報セキュリティ実施手順は,公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

附 則

この方針は,平成28年1月1日から施行する。

宇土市情報セキュリティ基本方針

平成27年12月28日 告示第105号

(平成28年1月1日施行)

体系情報
第6類 情報管理/第2章 情報公開
沿革情報
平成27年12月28日 告示第105号