○東近江市情報セキュリティ基本方針

平成27年12月24日

訓令第41号

東近江市情報セキュリティ基本方針(平成18年東近江市訓令第34号)の全部を改正する。

(趣旨)

第1条 この訓令は、市が保有する情報資産の機密性、完全性及び可用性を維持するため、市が実施する情報セキュリティ対策について基本的な事項を定めるものとする。

(定義)

第2条 この訓令において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。

(2) 情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。

(3) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。

(4) 情報セキュリティポリシー 情報セキュリティに関係する法令並びにこの訓令及びこの訓令に基づき定める対策基準等をいう。

(5) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(6) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(7) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく情報にアクセスできる状態を確保することをいう。

(情報資産)

第3条 この訓令が対象とする情報資産は、次のとおりとする。

(1) ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

(2) ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

(3) 情報システムの仕様書及びネットワーク図等のシステム関連文書

(対象とする脅威)

第4条 情報資産に対する脅威として、次の脅威を想定し、情報セキュリティ対策を実施する。

(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵等の意図的な要因による情報資産の漏えい、破壊、改ざん、消去、重要情報の詐取、内部不正等

(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい、破壊、消去等

(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等

(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5) 電力供給及び通信の途絶等のインフラの障害からの波及等

(適用範囲)

第5条 この訓令は、市が保有するすべての情報資産並びに情報資産に接するすべての職員、非常勤職員及び臨時的任用職員(以下これらを「職員」という。)並びに外部委託事業者について適用する。

(職員の遵守義務)

第6条 職員は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当って情報セキュリティポリシーを遵守しなければならない。

(情報セキュリティ対策)

第7条 市は、第4条の脅威から情報資産を保護するために、次の情報セキュリティ対策を講じる。

(1) 情報資産の分類と管理 市の保有する情報資産の機密性、完全性及び可用性に応じた分類並びに当該分類に基づく情報管理

(2) 物理的セキュリティ サーバ、情報システム室、通信回線、職員のパーソナルコンピュータ等の管理についての物理的な対策

(3) 人的セキュリティ 情報セキュリティに関し十分な教育及び啓発を行う等の人的な対策

(4) 技術的セキュリティ コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策

(5) 運用 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策

(6) 緊急時対応計画 情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するための計画

(監査及び自己点検)

第8条 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

(情報セキュリティポリシーの見直し)

第9条 前条の情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直すものとする。

(情報セキュリティ対策基準の策定)

第10条 前3条に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

(情報セキュリティ実施手順の策定)

第11条 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。

2 情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

(違反者への対応)

第12条 情報セキュリティ対策基準に違反した職員については、その重大性、発生した事案の状況等に応じて厳正に対応する。

(その他)

第13条 この訓令の施行に関し必要な事項は、市長が別に定める。

附 則

この訓令は、平成28年1月1日から施行する。

東近江市情報セキュリティ基本方針

平成27年12月24日 訓令第41号

(平成28年1月1日施行)