○情報セキュリティ基本方針
令和2年3月30日
訓令第26号
情報セキュリティ基本方針(平成18年鉾田市訓令第21号)の全部を次のように改正する。
(目的)
第1条 本基本方針は,鉾田市(以下「本市」という。)が保有する情報資産に対して実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
(定義)
第2条 本基本方針における用語の定義は,次の各号に定めるものとする。
(1) ネットワーク
コンピュータ等を相互に接続するための通信網,その構成機器(ハードウェア及びソフトウェア)をいう。
(2) 情報システム
コンピュータ,ネットワーク及び電磁的記録媒体で構成され,情報処理を行う仕組みをいう。
(3) 情報資産
ネットワーク,情報システム及びこれらに関する設備,電磁的記録媒体並びにネットワーク及び情報システムで取り扱う情報をいう。なお,情報資産には情報システムの仕様書及びネットワーク図等のシステム関連文書並びに紙等の有体物に出力された情報も含むものとする。
(4) 機密性
情報にアクセスすることを認められた者だけが,情報にアクセスできる状態を確保することをいう。
(5) 完全性
情報が破壊,改ざん又は消去されていない状態を確保することをいう。
(6) 情報セキュリティ
情報資産の機密性,完全性及び可用性を維持することをいう。
(7) 情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準を指すものとする。
(適用範囲)
第3条 本基本方針が適用される範囲は,本市の情報資産に関連する全ての職員,非常勤職員及び臨時職員(以下「職員等」という。)及び外部委託事業者を含むものとする。
(遵守義務)
第4条 鉾田市長をはじめとする全ての職員等及び外部委託事業者は,情報セキュリティの重要性について共通の認識を持ち,業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。
(対象とする脅威)
第5条 本基本方針が対象として想定する脅威は,以下のとおりである。
(1) 不正アクセス,ウイルス攻撃,サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去,重要情報の詐取,内部不正等
(2) 情報資産の無断持ち出し,無許可ソフトウェアの使用等の規定違反,設計・開発の不備,プログラム上の欠陥,操作・設定ミス,メンテナンス不備,内部・外部監査機能の不備,外部委託管理の不備,マネジメントの欠陥,機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震,落雷,火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病等による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶,通信の途絶,水道供給の途絶等のインフラの障害からの波及等
(情報セキュリティ対策)
第6条 情報資産への脅威から情報資産を保護するために,以下の情報セキュリティ対策を講じるものとする。
(1) 組織体制
本市の情報資産について,情報セキュリティ対策を推進する全庁的な組織体制を確立する。
(2) 情報資産の分類と管理
本市の保有する情報資産を,機密性,完全性及び可用性に応じて分類し,当該分類に基づき情報セキュリティ対策を行う。
(3) 物理的セキュリティ対策
情報資産の管理について,物理的な対策を行う。
(4) 人的セキュリティ対策
情報セキュリティに関し,職員等が遵守すべき事項を定めるとともに,十分な教育及び啓発を行う等の人的な対策を行う。
(5) 技術的セキュリティ対策
情報資産を外部からの不正なアクセス等から適切に保護するため,情報資産へのアクセス制御,ネットワーク管理等の技術的な対策を行う。
(6) 運用におけるセキュリティ対策
情報セキュリティポリシーの運用における対策を行う。また,情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するため,緊急時対応計画を策定する。
(監査及び自己点検の実施)
第7条 情報セキュリティポリシーの遵守状況を検証するため,定期的又は必要に応じて,情報セキュリティ監査及び自己点検を実施する。
(更新)
第8条 前条の監査及び自己点検の結果により,情報セキュリティポリシーに定める事項を変更する必要が発生した場合,及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合は,情報セキュリティポリシーを更新するものとする。
(情報セキュリティ対策基準の策定)
第9条 情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
2 情報セキュリティ対策基準は,公にすることにより情報セキュリティを脅かす恐れのある情報であることから非公開とする。
(情報セキュリティ実施手順の策定)
第10条 情報セキュリティ対策基準に基づき,情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。
2 情報セキュリティ実施手順は,公にすることにより情報セキュリティを脅かす恐れのある情報であることから非公開とする。
附則
この訓令は,令和2年4月1日から施行する。