○蘭越町情報セキュリティポリシーに関する規程

平成16年3月22日

規程第1号

目次

第1章 総則(第1条~第2条)

第2章 情報セキュリティ基本方針(第3条~第9条)

第3章 情報セキュリティ対策基準

第1節 組織及び体制(第10条)

第2節 情報資産の管理(第11条)

第3節 物理的セキュリティ(第12条~第15条)

第4節 人的セキュリティ(第16条~第26条)

第5節 技術的セキュリティ

第1款 禁止行為(第27条~第29条)

第2款 アクセス制御(第30条~第35条)

第3款 システムの導入、保守等(第36条~第39条)

第4款 セキュリティ情報の収集(第40条)

第6節 運用(第41条~第43条)

第4章 雑則(第44条~第46条)

附則

第1章 総則

(目的)

第1条 蘭越町情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)は、蘭越町(以下「町」という。)が保有する情報資産並びに情報資産を取り扱うネットワーク及び情報システムをさまざまな脅威から防御することにより、町民の財産及びプライバシーを守り、並びに事務の安定的な運営を図り、もつて行政に対する町民からの信頼の維持向上に資するとともに、電子自治体の構築に不可欠なネットワーク及び情報システムの安定性を保持することを目的とする。

(情報セキュリティポリシーの位置付けと構成)

第2条 情報セキュリティポリシーは、町が所掌する情報資産に関する情報セキュリティ対策について総合的、体系的かつ具体的にまとめたものとして、本町の情報セキュリティ対策の頂点に位置するものとする。

2 情報セキュリティポリシーは、一定の普遍性を備えた部分(以下「情報セキュリティ基本方針」という。)及び情報資産を取り巻く状況の変化に依拠する部分(以下「情報セキュリティ対策基準」という。)で構成する。

第2章 情報セキュリティ基本方針

(定義)

第3条 次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1) ネットワーク 町における行政部局を相互に接続するための通信網、その構成機器及び記録媒体で構成され、処理を行う仕組みをいう。

(2) 情報システム 業務系の電子計算機及び記録媒体で構成され、処理を行う仕組みをいう。

(3) 情報資産 ネットワーク及び情報システムの開発と運用に係るすべての情報並びにネットワーク及び情報システムで取り扱うすべての情報をいう。なお、情報資産には、紙等の有体物に出力された情報を含むものとする。

(4) 情報セキュリティ 情報資産の機密の保持及び正確性並びに定められた範囲での利用可能な状態を維持することをいう。

(情報セキュリティポリシーの遵守義務)

第4条 町が所掌する情報資産に関する業務に携わるすべての職員及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たつて、情報セキュリティポリシーを遵守する義務を負うものとする。

(情報セキュリティ管理体制)

第5条 町は、情報資産に係る情報セキュリティ対策を推進・管理するための体制を確立するものとする。

(情報資産に対する脅威)

第6条 情報セキュリティ対策を講ずべき情報資産に対する脅威は、次の各号に掲げるものとする。

(1) 部外者の侵入による機器又は情報資産の破壊又は盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊、盗聴、改ざん、消去等

(2) 職員又は外部委託事業者による機器又は情報資産の持出し、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊、盗聴、改ざん、消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏えい等

(3) コンピュータウィルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止

(情報セキュリティ対策)

第7条 前条各号に掲げる脅威から情報資産を保護するため、次の各号に掲げる対策を行うものとする。

(1) 物理的セキュリティ対策 情報システムを設置する施設への不正な立入り又は情報資産の損傷・妨害等から保護するための物理的な対策

(2) 人的セキュリティ対策 情報セキュリティに関する権限や責任を定めるとともに、すべての職員及び外部委託事業者に情報セキュリティポリシーの内容を周知徹底する等の教育及び啓発などの対策

(3) 技術及び運用におけるセキュリティ対策 情報資産を外部からの不正なアクセス等から適切に保護するための情報資産へのアクセス制御、ネットワーク管理等の技術的な対策、情報セキュリティポリシーの遵守状況の確認等の運用面の対策

(情報セキュリティ対策基準の策定)

第8条 町の保有する情報資産について前条各号に掲げる情報セキュリティ対策を講ずるに当たつては、遵守すべき行為及び判断等の基準を明記した情報セキュリティ対策基準を策定するものとする。

(評価及び見直し)

第9条 情報資産を取り巻く状況の変化に対応するため、情報セキュリティポリシーの評価及び見直しを行うものとする。

第3章 情報セキュリティ対策基準

第1節 組織及び体制

(組織及び体制)

第10条 情報セキュリティ管理体制は、次の各号に掲げる者等をもつて組織する。

(1) セキュリティ統括責任者

(2) ネットワーク管理者

(3) 情報セキュリティ管理者

(4) 情報システム管理者

(5) 情報システム担当者

(6) 蘭越町情報セキュリティ会議

第2節 情報資産の管理

(情報資産の管理)

第11条 情報資産は、当該情報資産を作成した各課等の情報セキュリティ管理者が管理責任を有するものとする。

2 情報資産は、次の各号に定める記録媒体の管理により、セキュリティを確保しなければならない。

(1) 記録媒体の管理

 取出しが可能な記録媒体は、適切な管理を行わなければならない。

 重要な情報資産を記録した記録媒体は、耐火、耐熱、耐水及び耐湿対策を講じた施錠可能な場所に保管しなければならない。

(2) 情報資産の変更又は廃棄の管理

 記録媒体が不要となつた場合は、当該媒体に含まれる重要な情報資産は、記録媒体の初期化など情報資産を復元できないように消去を行つた上で廃棄しなければならない。

 重要な情報資産を記録した記録媒体の廃棄は、情報セキュリティ管理者の許可を得ることとし、行つた処理内容について記録しなければならない。

第3節 物理的セキュリティ

(サーバ等)

第12条 サーバ等の装置の設定は、次の各号に掲げる措置を講じなければならない。

(1) 重要な情報資産を格納しているサーバ等は、二重化し、ミラーリングにより常に同一データを保持し、メインサーバに障害が発生した場合には、サブサーバにデータを移行させ、システムの運用が停止しないようにすること。

(2) サーバ等は、ネットワーク管理者、情報システム管理者、情報システム担当者及び操作を認められた外部委託業者以外の者が容易に操作できないよう、利用者のIC、パスワードの設定等の措置を施すこと。なお、パスワードは、可能な限り複雑なものとし、定期的に更新すること。

2 サーバ等の機器の電源は、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けるものとする。

3 ネットワークの配線は、次の各号に掲げる措置を講じなければならない。

(1) 配線は、傍受又は損傷等を受けることがないよう、可能な限り必要な措置を施すこと。

(2) ネットワーク管理者、情報システム管理者、情報システム担当者及び操作を認められた外部委託事業者以外の者が配線を変更又は追加できないように必要な措置を施すこと。

(情報管理室の入退室管理等)

第13条 ネットワークの基幹機器又は重要な情報システムを設置し、かつ、重要な情報資産の管理・運用を行うための部屋(以下「情報管理室」という。)への入退室は、許可された者のみが行えるものとする。

2 前項の規定により許可された職員及び外部委託事業者は、身分証明書等を携帯し、求めによりそれを提示しなければならない。

3 情報管理室への機器等の搬入には、職員が立ち会う等の必要な措置を施さなければならない。

(ネットワーク)

第14条 ネットワークに使用する回線は、伝送途上において破壊、盗聴、改ざん、消去等が生じないように、十分なセキュリティ対策が実施されたものでなければならない。

(端末等)

第15条 執務室等の端末等は、盗難防止のための物理的措置を施さなければならない。

第4節 人的セキュリティ

(セキュリティ統括責任者)

第16条 すべてのネットワーク、情報システム及び情報資産のセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者には、副町長を充てる。

(ネットワーク管理者)

第17条 セキュリティ統括責任者を補佐し、すべてのネットワーク、情報システム及び情報資産における情報セキュリティ対策の管理を行うため、ネットワーク管理者を置く。

2 ネットワーク管理者には、総務課長を充てる。

(情報セキュリティ管理者)

第18条 情報セキュリティ管理者は、その所掌に属する課等における情報セキュリティに関して統括するものとする。

2 情報セキュリティ管理者は、課・局長又はこれに相当する職その他部局の長(以下「課長等」という。)とする。

(情報システム管理者)

第19条 情報システム管理者は、その所管する情報システムにおける情報セキュリティ対策の管理を行うものとする。

2 情報システム管理者は、各情報システムを担当する課長等とする。

(情報システム担当者)

第20条 情報システム担当者は、その担当する情報システムに関して、情報システム管理者の指示等に従い、情報セキュリティ対策を行うものとする。

(セキュリティ会議)

第21条 町の情報セキュリティの維持管理を統一的な視点で行うため、セキュリティ会議において、情報セキュリティに関する重要な事項を審議するものとする。

(職員)

第22条 すべての職員は、次の各号に掲げる事項を遵守しなければならない。

(1) 情報セキュリティ対策についての不明な点、遵守することが困難な点等は、速やかに情報セキュリティ管理者に相談し、指示を仰ぐこと。

(2) すべての職員は、使用する端末や記録媒体について、第3者に使用させること又は許可なく情報資産を閲覧させることがないよう、適切な措置を施すこと。

(3) すべての職員は、情報セキュリティ管理者の許可を得ないで、端末等を執務外に持ち出さないこと。

(4) すべての職員は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿すること。

(外部委託に関する管理)

第23条 ネットワーク又は情報システムの開発又は保守を外部委託事業者に発注する場合は、情報資産のセキュリティが確保されるよう、必要な事項を明記した契約を締結しなければならない。

(事故・欠陥に関する報告)

第24条 職員等は、情報セキュリティに関する事故、システム上の欠陥又は誤動作等を発見した場合は、速やかにネットワーク管理者に報告するとともに、当該管理者の指示に従い、必要な措置を講じなければならない。

2 ネットワーク管理者は、前項の事故等を分析し、再発防止のための情報資産として記録を保存しなければならない。

(アクセスのための認証情報及びパスワードの管理)

第25条 職員は、自己の管理するICカードに関し、次の各号に掲げる事項を遵守しなければならない。

(1) ICカードの認証に用いるカード類は、職員等間で共有しないこと。

(2) 職員は、ICカードを紛失した場合は、速やかにネットワーク管理者及び情報システム管理者に通報し、指示を仰ぐこと。

(3) ネットワーク管理者及び情報システム管理者は、前号の通報があつたときは、速やかに当該ICカードを使用したアクセスを停止すること。

第26条 職員は、自己の管理するパスワードに関し、次の各号に掲げる事項を遵守しなければならない。

(1) パスワードは、秘密にすること。

(2) パスワードは、定期的に変更し、情報システム又はパスワードに対する危険のおそれがある場合には、パスワードを速やかに変更すること。

第5節 技術的セキュリティ

第1款 禁止行為

(業務目的以外の使用の禁止)

第27条 職員によるネットワーク及び情報システム資源の使用は、業務目的に沿つた者のみが許可されるものとし、業務目的以外での情報システムへのアクセス、メールアドレスの使用及びインターネットへのアクセスを行つてはならない。

(無許可ソフトウェアの導入の禁止)

第28条 職員は、各自に供用された端末等に対して、セキュリティ会議が定める以外のソフトウエアの導入を行つてはならない。ただし、業務を円滑に遂行するために必要なソフトウェアについては、合理的理由のある場合で、ネットワーク管理者及び情報システム管理者の事前の了解を得た場合に限り、利用することができるものとする。

(機器構成の変更の禁止)

第29条 職員は、各自に供用された端末等に対して、機器の増設又は改造を行つてはならない。ただし、業務を円滑に遂行するための合理的理由がある場合で、ネットワーク管理者及び情報システム管理者の事前の了解を得た場合に限り、利用することができるものとする。

第2款 アクセス制御

(利用者登録)

第30条 ネットワーク管理者及び情報システム管理者は、ネットワーク上の情報システムについて、利用者の登録、変更、抹消等について記録しなければならない。

(管理者権限)

第31条 ネットワークの管理者権限は、1人の者に与え、厳重に管理しなければならない。

2 情報システムの管理者権限は、必要最小限の者に与え、厳重に管理しなければならない。

(インターネット以外のネットワークにおけるアクセス制御)

第32条 ネットワーク管理者は、アクセス可能なネットワーク上のシステムごとにアクセスできる者を定めなければならない。

2 ネットワーク管理者及び情報システム管理者は、ネットワークシステムを使用する権限を有しない職員等が当該資源を使用できるようにしてはならない。

(総合行政ネットワーク及び住民基本台帳ネットワークシステムとの接続)

第33条 総合行政ネットワーク及び住民基本台帳ネットワークシステムについては、当該接続において取り扱う情報資産の重要性を考慮し、適切なアクセス制御を実施するものとする。

(外部ネットワークとの接続)

第34条 外部ネットワークとの接続に当たつては、当該外部ネットワークの構成、セキュリティレベル等を詳細に検討し、本町のすべてのネットワーク、情報システム及び情報資産への影響が生じないことを確認した上で、接続しなければならない。

2 接続した外部ネットワークのセキュリティに問題があると認められ、かつ、本町の情報資産に脅威が生じると想定される場合は、速やかに当該外部ネットワークを物理的に遮断しなければならない。

(パスワードの管理)

第35条 ネットワーク管理者又は情報システム管理者は、職員のパスワードに関する情報を厳重に管理しなければならない。

第3款 システムの導入、保守等

(情報システムの導入)

第36条 情報システムの導入に当たつては、情報セキュリティが確保されるよう必要な措置を講ずるものとする。

(ネットワーク及び情報システムの更新)

第37条 ネットワーク及び情報システムを更新するに当たつては、更新の内容、必要性、計画等について明らかにしなければならない。

(機器の修理及び廃棄)

第38条 記録媒体の含まれる機器を外部の事業者に修理させ、又は廃棄する場合は、その内容が消去された状態で行わなければならない。ただし、故障を外部の事業者に修理させる場合で情報資産を消去することが困難なときは、修理を委託する事業者に対し、秘密を守ることを契約に定めなければならない。

(管理記録)

第39条 情報システム管理者は、担当するシステムにおいて行つたシステム変更等の作業については、記録を作成し、適切に管理を行わなければならない。

第4款 セキュリティ情報の収集

(セキュリティ情報の収集)

第40条 ネットワーク管理者は、情報セキュリティに関する情報を収集し、ネットワークシステム及び情報システムのセキュリティ対策上必要な措置を講じなければならない。

第6節 運用

(情報セキュリティポリシーの遵守状況の確認)

第41条 情報セキュリティ管理者は、情報セキュリティが守られていること及び問題が発生していないことについて常に確認を行い、問題が発生した場合は、速やかにネットワーク管理者に報告しなければならない。

2 職員は、情報セキュリティポリシーの違反が発生した場合は、直ちにネットワーク管理者及び情報セキュリティ管理者に報告しなければならない。

3 ネットワーク管理者及び情報システム管理者は、サーバ等のシステム設定が情報セキュリティポリシーを遵守していること及び問題が発生していないことについて点検を行い、問題の発生を認めた場合は、速やかに適切に対処しなければならない。

(侵害時の対応)

第42条 情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止等の措置を講じるための緊急時対応計画は、次の各号に掲げるとおりとする。

(1) 事案の調査 セキュリティに関する事案を認めた者は、次に掲げる事項を速やかにネットワーク管理者に報告しなければならない。

 症状及び被害の程度

 事案が発生した原因として想定される行為

 記録

(2) 事案への対処 ネットワーク管理者は、事案に対処するため、次の事項を実施しなければならない。

 ネットワーク管理者は、次の事案が発生し、情報資産の防護のためにネットワークの切断がやむを得ない場合は、ネットワークを切断する措置を講ずるものとする。

(ア) 異常なアクセスが継続しているとき又は不正アクセスが判明したとき。

(イ) システム運用に著しい支障を来たす攻撃が継続しているとき。

(ウ) コンピュータウィルス等不正プログラムがネットワーク経由で拡がつているとき。

(エ) 情報資産に係る重大な被害が想定されるとき。

 情報システム管理者は、次の事案が発生し、情報資産の防護のために情報システムの停止がやむを得ない場合は、情報システムの停止の措置を講ずるものとする。

(ア) コンピュータウィルス等不正プログラムが情報資産に深刻な被害を及ぼしているとき。

(イ) 災害等により電源を供給することが危険又は困難なとき。

(ウ) その他情報資産に係る重大な被害が想定されるとき。

 端末をネットワークから切断する場合は、ネットワーク管理者の許可を要するものとする。ただし、情報資産の被害の拡大を直ちに停止させる必要があるときは、事後報告とすることができる。

 事案に対処した経過は、文書に記録するものとする。

(3) 再発防止の措置

ネットワーク管理者は、当該事案に係るリスクを分析し、再発防止計画を策定するものとする。

(評価・見直し)

第43条 セキュリティ会議は、情報セキュリティポリシーの実効性を評価し、必要な部分を見直すものとする。

第4章 雑則

(法令遵守)

第44条 職員は、職務の遂行において使用する情報資産について、次の法令を遵守しなければならない。

(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2) 著作権法(昭和45年法律第48号)

(情報セキュリティの違反に対する対応)

第45条 情報セキュリティポリシーに違反した職員及びその監督責任者に対しては、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。

(委任)

第46条 この規定の施行に関し必要な事項は、別に定める。

附 則

この規程は、平成16年4月1日から施行する。

附 則(平成19年3月30日規程第2号)

この規程は、平成19年4月1日から施行する。

蘭越町情報セキュリティポリシーに関する規程

平成16年3月22日 規程第1号

(平成19年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成16年3月22日 規程第1号
平成19年3月30日 規程第2号