○みやこ町情報セキュリティ対策基準

平成18年3月20日

訓令第9号

第1条 対象範囲

この情報セキュリティポリシーの対象範囲は、みやこ町が管理するすべての情報資産及び、同情報資産に関する業務に携わるすべての職員等とする。

なお、各教育機関における教育のために用いるシステム等は、この情報セキュリティポリシーに準ずることとする。

第2条 情報セキュリティ管理体制

みやこ町の情報セキュリティ管理については、以下の組織・体制とする。

(1) 最高情報セキュリティ責任者(CIO)

・最高情報セキュリティ責任者は、みやこ町における全てのネットワーク、情報システム及び情報資産の情報セキュリティを統括する最高責任者とし、副町長をもってこれに充てる。

・最高情報セキュリティ責任者は、みやこ町における全ての情報セキュリティに関する責任及び権限を有する。

(2) 統括情報セキュリティ管理者

・統括情報セキュリティ管理者は、最高情報セキュリティ責任者直属の責任者として総務課長をもってこれに充てる。

・総括情報セキュリティ管理者は、最高情報セキュリティ責任者を補佐し、その命をうけて、その権限に属する事務を処理する。

(3) 情報システム管理者

・情報システム管理者は、各システムと連携の必要のある基盤システムを所轄する課の長をもってこれに充てる。

・情報システムのうち、各システムと連携の必要のある基盤システム及び課等を接続するネットワーク、外部との接続を行うネットワークについて、開発、設定の変更、運用、更新等を行う権限を有する。

・情報システム管理者は、情報セキュリティ管理者からの求めに応じ、専門的な知識から情報セキュリティ確保のための助言・指導等を行う権限を有する。

(4) 情報セキュリティ管理者

・課等における課室局長及び出先機関の長を、その所管組織の情報セキュリティ管理者とする。

・情報セキュリティ管理者は、課等において担当している情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う責務を有する。

・情報セキュリティ管理者は、統括情報セキュリティ管理者の下、所管組織内における情報セキュリティポリシーの遵守に関する権限と責任を有する。

・情報セキュリティ管理者は、所管する情報システムにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。

・情報セキュリティ責任者は、所轄の情報システムについての情報セキュリティ実施手順の維持・管理の責務を有する。

・情報セキュリティ管理者は、課等における情報資産に対する侵害又は侵害の恐れのある場合には、統括情報セキュリティ管理者へ速やかに報告を行い、指示を仰がなければならない。また、課等における情報資産の侵害又は侵害の恐れのある原因が、システム又はネットワークに起因する恐れのある場合には、情報システム責任者に報告し、対応の指示を仰ぎ、課等における部署内の対策について、実施の責務を負うものとする。

(5) 情報システム担当者

・情報システム担当者は、情報セキュリティ管理者に指名され、担当する情報システムに関して、情報セキュリティ管理者の指示等に従い、開発、設定の変更、運用、更新等の作業を行う。

(6) みやこ町IT推進会議

・みやこ町の情報セキュリティの維持管理を統一的な視点で行うため、みやこ町IT推進会議において、情報セキュリティポリシー、情報セキュリティ実施手順等の策定及び見直しなど、情報セキュリティに関する重要な事項を審議する権限を有する。

・IT推進会議は、定期的(少なくとも年1回)かつ必要に応じて開催するものとする。

(7) 情報セキュリティ監査責任者

・情報セキュリティ監査責任者は、最高情報セキュリティ責任者により任命される。

・情報セキュリティポリシーの遵守状況及び情報セキュリティ対策の実施状況についての監査実施に関して責任を有する。

第3条 情報の分類と管理

(1) 情報の管理責任

 管理責任

情報は、当該情報を作成した事務所管課である課等の長が情報セキュリティ管理者として管理責任を有する。

 利用者の責任

情報を利用するものは、情報の分類に従い利用する責任を有する。

 重要性の効力

情報が複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならない。

(2) 情報の分類と管理方法

 情報の分類

対象となる情報システムの情報は、各々情報の機密性、完全性及び可用性を踏まえ、次の重要性分類に従って分類する。

(ア) 重要性分類Ⅰ

・みやこ町の幹部及び業務上必要とする最小限の者のみが扱う法令又は条例(以下「法令等」という。)の定めにより守秘義務を課されている行政情報(上記個人情報を除く。)

・法人その他の団体に関する行政情報で漏洩することにより当該団体の利益を害する恐れのあるもの。

・漏洩した場合、行政に対する信頼を著しく害するおそれのある行政情報

・滅失し、又はき損した場合、その復元が著しく困難となり、行政の円滑な執行を妨げる恐れのある行政情報

・情報システムに係るパスワード及びシステム設定情報

(イ) 重要性分類Ⅱ

・脅威にさらされた場合に実害を受ける危険性は低いが、行政事務の執行において重要性は高いと評価される行政情報(公開されると行政の円滑な執行に著しい障害を生ずる恐れのある行政情報等)

(ウ) 重要性分類Ⅲ

・上記以外の行政情報

 情報の管理方法

(ア) 情報の分類の表示

・情報システムで扱う情報について、第三者が重要性の識別を容易に認識できないよう留意しつつ、ファイル名、記録媒体等に情報の分類が分かるように表示をする等適切な管理を行わなければならない。

(イ) 情報の管理及び取り扱い

・行政情報の重要性分類に従い、パスワード等によるアクセス制限及び暗号等による通信内容の秘匿を行わなければならない。

・職員は、最高情報セキュリティ責任者又は統括情報セキュリティ管理者の許可がある場合を除き、重要性分類Ⅰの行政情報の複製及び外部への持ち出し、送付・送信は行ってはならない。

・職員は、業務上必要な場合には、情報セキュリティ管理者の許可を得た上で重要性分類Ⅰ又は重要性分類Ⅱの情報の複製・送付・送信を行わなければならない。

・電子情報が記録された記録媒体を搬送する場合は、当該記録媒体を硬質のケースに入れる等、記録媒体を物理的に保護するための対策を講じなければならない。

・記録された電子情報については、その重要度に応じて定期的にバックアップを捕らなければならない。

・情報を掌握する業務担当以外の者がその者の業務上の必要から情報提供を受ける場合は、担当の課等の情報セキュリティ管理者より、受けるものとする。

・情報の提供を受けた者は、提供された情報を使用目的以外に使用してはならない。

(ウ) 記録媒体の管理

・重要性分類Ⅰ・Ⅱの行政情報を記録した取り外し可能な記録媒体は、外部からの脅威にさらされないよう施錠ができるなど特に安全な場所に保管しなければならない。また、保管状況等を記録しなければならない。

・重要性分類Ⅰ・Ⅱの行政情報を記録した記録媒体を送る場合は、職員又は守秘義務を明記した契約を締結した外部業者に行わせるとともに、記録媒体の物理的な保護措置を講じなければならない。

・最終的に確定した情報を記録した記録媒体は、書込禁止措置を行った上で保管しなければならない。

・職務時間内外を問わず、重要性分類Ⅰ・Ⅱの外部記録媒体の放置を禁止する。

(エ) 記録媒体の処分

・記録媒体が磨耗等により不要となった場合は、当該媒体に記録されている重要性分類Ⅰ・Ⅱの行政情報をいかなる方法によっても復元できないように消去(データ消去プログラムなどで情報を復元できないようにすること。)又は裁断等の物理的な破壊を行った上で廃棄しなければならない。

・記録媒体の廃棄は、情報セキュリティ管理者の許可を得ることとし、廃棄を行った日時、担当者及び処理内容を記録しなければならない。

・重要な情報を記録した外部記憶媒体の廃棄を外部に委託する場合は、職員が立ち会う等の方法で廃棄を確認すること。

第4条 物理的セキュリティ

(1) サーバ等

 装置の取り付け等

・情報システムのサーバ等の取り付けを行う場所は、火災、水害、ほこり、振動、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切な固定等必要な措置を施さなければならない。

・情報セキュリティ管理者、情報システム管理者、情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が容易に操作できないように利用者のID、パスワードの設定などの措置を施さなければならない。

 電源

・停電及び電圧異常等によりデータ等が破壊され、業務処理に支障を来す恐れのある情報システム等の機器の電源については、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備えなければならない。

・過電流に対してサーバ等の機器を保持するための措置を施さなければならない。

 配線

・配線は、傍受又は損傷などを受けることがないよう可能な限り必要な措置を施さなければならない。

・主要な箇所の配線は、損傷等についての定期的な点検を行わなければならない。

・ネットワーク接続口(ハブのポート等)は、他の者が容易に発見できない場所又は監視が容易な場所に設置しなければならない。

・情報システム管理者、情報システム管理者、情報システム担当者及び契約により操作を認めたれた外部委託事業者以外の者が配線を変更、追加できないように必要な措置を施さなければならない。

 個人所有の情報機器

職員等は、個人所有の情報機器による情報漏えい、コンピュータウイルスの感染を防止するため、個人所有の情報機器をネットワークに接続してはならない。

(2) 管理区域

 管理区域

・ネットワークの基幹機器及び重要な情報システムを設置し当該機器等の管理及び運用を行うための部屋(以下「電算室」という。)は、確実な入退室管理を行える管理区域としなければならない。

・管理区域から外部に通ずるドアは、制御機能、鍵、警報装置などによって許可されていない者の立入りを防止しなければならない。

 電算室の入退室管理

・電算室の入退室は許可された者のみとし、入退室管理簿の記載を行い、職員等及び外部委託事業者は身分証明書等を携帯させ、求めにより提示させなければならない。

・入退室時を除き常時施錠すること。

 機器などの搬入・搬出

・電算機械室へ機器等を搬入する場合は、あらかじめ当該機器等の既存情報システムに対する安全性について、職員による確認を行わなければならない。

・機器等の搬入・搬出には、職員が同行する等の必要な措置を講じなければならない。

(3) ネットワーク

・外部へのネットワーク接続は必要最低限のものに限定し、特にインターネットへの接続ポイントは1ヶ所とし、ダイヤルアップ接続等を行ってはならない。

・第三者が容易に触れることが出来ない場所に設置するなど、情報資産の破壊を防止するための必要な対策を講じなければならない。

(4) 職員の端末装置

・職員は執務終了後及び一時的に離席するなどする場合は、重要性分類Ⅰ・Ⅱ等の情報がディスプレイ等に表示されたままの状態にある等、使用する端末、記録媒体について第三者に使用されること、又は許可なく閲覧されることがないように、適切な措置を講じなければならない。

第5条 人的セキュリティ

(1) 職員の責務

 情報セキュリティ対策の遵守義務

・全ての職員(常勤・非常勤・臨時問わず)は、情報セキュリティポリシー及び実施手順に定められている事項を遵守しなければならない。

・情報セキュリティ対策について不明な点、遵守する事が困難な点等については、速やかに情報セキュリティ管理者に相談し、指示等を仰がなければならない。

 非常勤及び臨時職員の雇用及び契約

・非常勤及び臨時職員には、雇用及び契約時に必ず情報セキュリティポリシーのうち、非常勤及び臨時職員が守るべき内容を理解させ、また実施及び遵守させなければならない。

 その他

・職員は、使用する端末や記録媒体について、第三者に使用されること、又は許可なく情報を閲覧されることがないように、適切な措置を施さなければならない。

・職員は、情報資産を業務上の目的以外で使用してはならない。

・職員は、情報セキュリティ管理者の許可を得ず、端末等を執務室外に持ち出してはならない。

・職員は、端末装置等の使用を終了し、又は中断する場合は、適切な操作をしなければならない。

・職員等は、端末装置等に周辺機器等を接続してはならない。ただし、情報セキュリティ管理者の承認を受けて周辺機器を接続する場合はこの限りではない。

・職員は、端末装置等にソフトウェアをインストールしてはならない。ただし、情報セキュリティ管理者の承認を受けてソフトウェアをインストールする場合はこの限りではない。

・職員は、異動、退職等により業務を離れる場合には、知り得た情報を他に漏らしてはならない。

(2) 教育・訓練

 啓蒙

・最高情報セキュリティ責任者は、説明会の実施等により全ての職員等及び関係する者に対し情報セキュリティポリシーについて啓発しなければならない。また、新規採用の職員等を対象とする情報セキュリティポリシーに関する研修を設けなければならない。

・情報セキュリティ管理者、情報システム管理者及び情報システム担当者は、情報セキュリティ、情報通信技術等に関する研修を受講するなど、必要な知識の維持及び習得に努めなければならない。

・最高情報セキュリティ責任者は、情報システムの運用に支障を来さない範囲において緊急時対応を想定した訓練等を職員に行わせなければならない。

・職員は、情報セキュリティポリシーに関する研修を受講し、情報セキュリティポリシー及び情報セキュリティ実施手順を理解し、情報セキュリティ上の問題が生じないようにしなければならない。

・情報システムの開発・保守・運用管理に携わる職員は、担当者として必要な技術力を習得・維持するための研修を受けなければならない。

(3) 外部委託に関する管理

・情報システムの開発・保守・運用管理等を外部事業者に委託する場合は、情報セキュリティポリシーのうち外部委託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を締結し、その遵守を管理しなければならない。

(4) パスワードの管理

職員等は、自己の保有するパスワードに関し、次の事項を遵守しなければならない。

・パスワードを秘密にし、照会に応じないこと。

・パスワードのメモを作らないこと。

・パスワードの長さは十分な長さとし、推測されやすいもの又は解読されやすいものを避けること。

・パスワードは定期的に変更することとし、古いパスワードの再利用はしないこと。

・仮のパスワードは、最初のログイン時点で変更すること。

・端末にパスワードを記憶させないこと。

・職員間でパスワードを共有しないこと。

(5) 事故及び欠陥の対処

 連絡体制の作成

・情報セキュリティに関する事故、並びに情報システム上の欠陥及び誤作動(以下、「事故等」という。)が発生した場合の連絡体制及び復旧手順を定めなければならない。

 報告・記録

・職員は、情報セキュリティに関する事故等を発見した場合は、速やかに情報セキュリティ管理者に報告し、情報セキュリティ管理者の指示に従わなければならない。

・別途、職員は、情報システム管理者に報告し、情報システム管理者は、報告のあった事故等について全て統括情報セキュリティ管理者に報告しなければならない。

・情報セキュリティ管理者及び情報システム管理者は、事故等の再発防止のため、発生した事故等を分析し、当該事故等に関する記録を作成しなければならない。

・統括情報セキュリティ管理者は、報告を受けた事故等の影響の重大性に応じ、最高情報セキュリティ責任者に報告しなければならない。

・統括情報セキュリティ管理者は、報告を受けた事故等を分析し、本ポリシーの改訂が必要と認める場合は、その内容を最高情報セキュリティ管理者に報告しなければならない。

・情報セキュリティ管理者は、情報資産の復旧が困難な緊急事態が発生した場合の連絡体制及び対処手順を定めなければならない。

(6) 非常勤職員及び臨時的任用職員に関する特例

・情報セキュリティ管理者は、非常勤職員又は臨時的任用職員の配置を受けた際、本ポリシーのうち当該職員が守るべき事項を確実に理解、遵守させなければならない。

・情報セキュリティ管理者は、非常勤職員又は臨時的任用職員の配置を受けた際、必要に応じ、本ポリシーを遵守する旨の確認書等の提出を求めなければならない。

第6条 技術的セキュリティ

(1) 情報システム及びネットワークの管理

 管理記録の作成と管理

・情報システム管理者は、担当する情報システム及びネットワークにおいて行った変更作業を記録し、適切に管理しなければならない。

 情報システム及びネットワーク仕様書の管理

・情報システム管理者は、情報システム及びネットワークにおいて行った変更等の処理に対してシステム仕様書及びネットワーク仕様書を記録することにより仕様書を最新の状態にしなければならない。

・情報システム管理者は、情報システム及びネットワークの仕様書を業務上必要とする者のみが閲覧できる場所に保管しなければならない。

 アクセス記録の取得

・情報システム管理者は、重要性分類Ⅰ・Ⅱに係る行政情報のアクセス記録及びセキュリティ関連障害に関する記録を取得し、一定の期間保存しなければならない。

・情報管理者は、アクセス記録が、窃取、改ざん又は消去されないように必要な措置を講じなければならない。

・情報管理者は、(可能な範囲で)アクセス記録を分析しなければならない。

 障害記録の作成

・情報システム管理者は、(可能な範囲で)障害記録を作成し、(一定の期間)保存しなければならない。

 バックアップの取得

・情報システム管理者は、重要性分類Ⅰ・Ⅱの行政情報については、定期的に外部媒体へのバックアップを取り、施錠等のできる安全な場所へ保管しなければならない。

 ソフトウェアの導入に関する注意

・職員は、新たにソフトウェアを導入する場合は、情報システム管理者の許可を得なければならない。

・職員は、正規のライセンスのないソフトウェアを導入してはならない。

・職員は、業務上不必要なソフトウェア及び出所不明なソフトウェア等安全性が確認されないソフトウェアをインストールしてはならない。

・情報システム管理者は、情報システムに係るソフトウェアの管理及び記録を作成しなければならない。

・情報システム管理者は、正規なライセンスを購入し、ソフトウェアの導入をしなければならない。

 メールの送受信等

・職員は、メールの自動転送機能を用いて、業務上不必要な者へ職場のメールを転送してはならない。

・職員は、チェーンメールや不審なメールを他者に転送してはならない。

・職員は、重要性分類Ⅱの行政情報に該当する添付ファイルのあるメールを送信する必要がある場合には、事前に情報セキュリティ管理者の承認を受けなければならない。

・職員は、差出人が不明な、又は不自然なファイルが添付されたメールを受信した場合は、直ちに廃棄しなければならない。

 業務目的以外の使用の禁止

・職員は、業務目的以外での情報システムへのアクセス及びメールの使用を行ってはならない。

(2) 情報システムアクセス制御

 利用者登録

・情報セキュリティ管理者は、情報システムの利用者の登録、変更、抹消等については、各情報システムに定められた方法に従って行わなければならない。

・利用者登録、変更等は、情報システム管理者に対する申請により行わなければならない。

 インターネット以外のネットワークへのアクセス制御

・情報システム管理者は、不必要なネットワークサービスにアクセスできないよう必要な措置を講じなければならない。

 外部ネットワークとの接続

・外部ネットワークとの接続に際しては、当該外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、本町の情報資産に影響が生じないことを明確に確認したうえで、情報システム管理者の許可に基づき接続しなければならない。

・情報システム管理者は、外部ネットワークとの接続を行うことで内部ネットワークの安全性が脅かされることの無いようにセキュリティ対策に努めなければならない。

・接続した外部ネットワークの情報セキュリティに問題が認められた場合には、情報システム管理者は、速やかに当該外部ネットワークを物理的に遮断しなければならない。

・内部ネットワークの情報セキュリティに問題が認められた場合には、情報システム管理者は速やかに当該内部ネットワークを、外部ネットワークから遮断しなければならない。

 パスワード等の管理

・情報システム管理者は、ネットワーク及びネットワーク上で利用する各種サービスにおけるユーザID及びパスワード並びに関連情報機器のユーザID及びパスワードについて適切に管理しなければならない。

(3) 情報システムの開発・導入・保守

 情報システムの開発・導入

・情報システム管理者は、情報システムのソフトウェアを開発・導入する場合は、情報セキュリティ上問題にならないかどうか、確認しなければならない。

・情報システム管理者は、情報システムのソフトウェアを開発する場合は、ソフトウェアの仕様書、ネットワーク構成図等を整備しなければならない。

・情報システム管理者は、開発したソフトウェアを情報システムに取り入れる場合は、既に稼動している情報システムに接続する前に十分な試験を行わなければならない。

 情報システムの変更管理

・情報システム管理者は、重要なシステムを追加、変更、廃棄等した場合は、その際の設定・構成等の履歴を記録・保存し、必要な場合には復旧できるようにしなければならない。

 ソフトウェアの保守及び更新

・情報システム管理者は、情報セキュリティに重大な影響を及ぼすソフトウェアについては、適切な保守が行われるようにし、その不具合については、速やかに修正等の対応を行わなければならない。

・情報システム管理者は、情報システムのソフトウェアの更新等については、計画的に実施しなければならない。

 機器の修理及び廃棄

・記録媒体の含まれる機器を外部の業者に委託し、修理する場合、機器内に保存されている行政情報を漏洩すること及び他の記録媒体に記録することがないように守秘義務を履行させなければならない。

・記録媒体の含まれる機器を外部の業者に委託し、廃棄する場合は、記録媒体内の行政情報を可能な限り消去した状態で処理依頼するとともに、処理業者に廃棄証明書を提出させることとする。

 機器構成の変更

・職員は、情報システムの機器について改造又は機器の増設・交換を行ってはならない。

・職員は、情報システムの機器について業務を遂行するため機器の増設・交換を行う必要がある場合には、情報管理者の許可を得なければならない。

・職員は、モデム等の機器を増設して、他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には、情報管理者の許可を得なければならない。情報システム管理者は、許可に当たって情報システム及び他の情報システムにセキュリティ上の問題を生じさせてはならない。

(4) コンピュータウイルス対策

 情報管理の実施事項

・情報システムのサーバ及び必要な機器にウイルス対策ソフトを導入すること。

・ウイルスチェック用のパターンファイルは常に最新のものに保つこと。

・定期的に新種のウイルスに関する情報収集や情報システム内部の感染状況等について情報収集をすること。

・コンピュータウイルス情報について、職員に対する注意喚起を行うこと。

・コンピュータウイルスについて、職員に対して必要な啓発活動を行うこと。

 職員遵守事項

・外部からデータ又はソフトウェアを取り入れる場合、及び外部に持ち出す場合には、必ずウイルスチェックを行うこと。

・ウイルスチェックの実行を途中で止めないこと。

・添付ファイルのあるメールを送受信する場合は、ウイルスチェックを行うこと。

・職員は、情報システム管理者が提供するコンピュータウイルス情報を常に確認すること。

(5) 不正アクセス対策

・情報管理者は、セキュリティホール等の情報収集に努め、メーカー等から修正プログラムの提供があり次第、速やかに対応するとともに、その修正履歴を記録・保存しなければならない。

・情報システム管理者は、情報システムに不正な侵入や利用があった場合に探知等できるよう、適切な対策に努めなければならない。

・情報管理者は、情報システムに攻撃を受けていることが明らかな場合には、システムの停止を含め必要な措置を講じなければならない。

・職員により本町ネットワーク及び外部ネットワークに対して不正なアクセスがあった場合は、情報システム管理者は当該職員が属する課等の長に通知し、適切な処置を求めなければならない。

・外部ネットワークより不正アクセスがあった場合は、情報システム管理者に報告し、適切な措置を講じなければならない。

・情報システム管理者は、ネットワークへの不正侵入を検知するため、継続的な監視等の必要な対策を講じなければならない。

(6) セキュリティ情報の収集

・情報システム管理者は、重要なシステムの設定に係るファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。

・職員は、セキュリティに関する情報について、国及び関係団体、民間事業者等から適宜情報を収集しなければならない。

第7条 運用

(1) 情報システムの監視

・情報システム管理者は、情報システムの運用にあたっては、常に情報システムを監視するとともに情報セキュリティ障害に対して注意を払わなければならない。

・内部のシステムについて、アクセスコントロール等を行い、異常な運営等の監視を行わなければならない。

(2) 情報セキュリティポリシーの遵守状況の確認

・情報システム管理者は、情報セキュリティポリシーの遵守状況について、また、運用上支障が生じていないかについて確認を行い問題が発生した場合は速やかに統括情報システム管理者に報告しなければならない。

(3) セキュリティ侵害時の対応

・セキュリティ障害が発生した場合には、情報セキュリティ管理者はすみやかに対応するとともに、再発防止の措置を講じなければならない。

(4) 障害拡大の防止措置

・情報システム管理者は、故意の不正アクセス又は不正操作により情報システムに障害を及ぼすことが明らかな場合には、情報システムの停止を含む必要な措置を講じなければならない。

・情報システム管理者は、情報システムに障害を受け、その障害の原因となる行為が不正アクセス禁止法違反等の可能性がある場合には、行為の記録の保存に努めなければならない。

(5) 障害の調査

セキュリティ障害が発生した場合は、次の項目について、すみやかにネットワーク管理者に報告し、調査をしなければならない。

・事案の内容

・事案が発生した原因

・確認した被害・影響範囲

・調査した内容は、障害内容に応じて、速やかに、みやこ町IT推進会議への報告を行わなければならない。

(6) 障害への対応

・情報システム管理者は、速やかにセキュリティ障害を復旧し、その措置について情報セキュリティ管理者に報告しなければならない。

・障害が外部に重大な影響を及ぼすおそれがある場合には、情報セキュリティ管理者は速やかに最高情報セキュリティ責任者及び統括情報セキュリティ管理に報告のうえ必要な指示を仰がなければならない。

(7) 再発防止の措置

・情報セキュリティ管理者は、必要な再発防止の措置を講じるとともに、その結果を最高情報セキュリティ責任者及び統括情報セキュリティ管理に報告しなければならない。

第8条 法令遵守

職員等は、職務の遂行において使用する情報資産について次の法令等を遵守し、これに従わなければならない。

・不正アクセス行為の禁止などに関する法令(平成11年法律第128号)

・著作権法(昭和45年法律第48号)

・行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)

第9条 情報セキュリティに関する違反に対する対応

・情報セキュリティポリシーに違反した者については、その重大性、発生した事案の状況等に応じて処分の対象とする。

・情報セキュリティ管理者は、その管理監督に服する職員が本ポリシーに違反したときは、統括情報セキュリティ管理者に報告しなければならない。

・統括情報セキュリティ管理者は、本ポリシーに違反した職員に是正を命じるように指示しなければならない。

第10条 評価・見直し

(1) 監査

・情報セキュリティ監査責任者は、ネットワーク及び情報システムのセキュリティについて定期的にかつ必要に応じて監査を行わなければならない。

・情報セキュリティ監査責任者は、情報セキュリティ監査に関する実施体制を明確にし、監査計画を作成しなければならない。監査計画書は、最高情報セキュリティ責任者の承認を得ること。

・監査を行う者は、十分な専門的知識を有する者でなければならない。

・外部委託業者に委託している場合、外部委託業者から下請けとして受託している業者も含めて、情報セキュリティポリシーの遵守について定期的に監査を行わなければならない。

・情報セキュリティ監査責任者は、監査結果をとりまとめ、最高情報セキュリティ責任者及びみやこ町IT推進会議に報告しなければならない。みやこ町IT推進会議は、この報告結果を情報セキュリティの更新の際に参照する情報として活用しなければならない。

・情報セキュリティ監査責任者は、監査の結果、本ポリシーの見直しが必要と認められるときは、統括情報セキュリティ管理者に改訂を勧告するものとする。

(2) 点検

・統括情報セキュリティ管理者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうかについて自己点検を行わなければならない。統括情報セキュリティ管理者はこれをまとめ、みやこ町IT推進会議に報告する。みやこ町IT推進会議は、この報告結果を情報セキュリティポリシーの更新の際に参照する情報として活用することとする。

(3) 情報セキュリティポリシーの更新

・新たに必要な対策が発生した場合または監査の結果を踏まえ、みやこ町IT推進会議において情報セキュリティポリシーの実効性を評価し、必要な部分を見直し、内容、時期について決定を行う。この決定に基づき、情報セキュリティポリシーの更新を実施する。

・更新の内容については、みやこ町IT推進会議が決定しなければならない。

附 則

この対策基準は、平成18年3月20日から施行する。

附 則(平成19年4月1日訓令第11号)

この訓令は、平成19年4月1日から施行する。

みやこ町情報セキュリティ対策基準

平成18年3月20日 訓令第9号

(平成19年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成18年3月20日 訓令第9号
平成19年4月1日 訓令第11号