本文
蟹江町情報セキュリティ基本方針
総務課
1.目的
蟹江町情報セキュリティ基本方針(以下「基本方針」という。)は、町の情報資産に対する様々な脅威及び侵害の抑止、防止、検知及び回復について、組織的かつ体系的に取り組むための統一的な方針であり、情報セキュリティを実践するに当たっての基本的な考え方及び方策を定めることによって、町が保有する情報資産の機密性、完全性及び可用性を維持し、もって町に対する町民からの信頼の維持向上に寄与することを目的とする。
2.適用範囲
この基本方針は、町が保有する情報資産並びに情報資産に関する業務に携わる職員(臨時職員を含む。)及び町の事務事業の委託を受けた者(以下「受託者」という。)に適用する。
3.用語の定義
(1)情報資産
町が保有するすべての情報及び情報システムをいう。
(2)情報システム
ネットワーク、ハードウェア、ソフトウェア及び記録媒体で構成され、業務処理を行う仕組みをいう。
(3)ネットワーク
コンピュータを相互に接続するための通信網及びその構成機器をいう。
(4)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(5)機密性
情報にアクセスすることが認められた者だけがアクセスできることを確実にすることをいう。
(6)完全性
情報及び処理の方法の正確さ及び完全である状態を安全防護することをいう。
(7)可用性
認められた者が必要なときに情報にアクセスできることを確実にすることをいう。
4.情報セキュリティ管理体制
町の情報資産について、適切に情報セキュリティ対策を推進・管理するための組織体制を確立するものとする。
5.情報資産の分類及び管理
情報資産について、情報の機密性、完全性及び可用性を踏まえた情報資産の分類を行い、その重要性に応じて、適切な管理を行うものとする。
6.情報資産への脅威
情報セキュリティ対策を策定するうえで、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
- 部外者による、機器若しくは情報資産の破壊・盗難又は故意の不正アクセス若しくは不正操作による機器若しくは情報資産の破壊・盗聴・改ざん・消去等
- 職員又は受託者による、機器若しくは情報資産の持出・誤操作、アクセスのための認証情報若しくはパスワードの不適切管理、故意の不正アクセス若しくは不正行為による機器若しくは情報資産の破壊・盗聴・改ざん・消去等、搬送中の事故等による機器若しくは情報資産の盗難又は規定外の端末接続によるデータ漏洩等
- コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止
7.情報セキュリティ対策
上記6で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。
(1)物理的セキュリティ対策
情報システムを設置する施設及び情報の保管場所等への不正な立入り、情報資産への損傷・妨害等から情報資産を保護するために物理的な対策を講ずる。
(2)人的セキュリティ対策
情報セキュリティに関する権限や責任及び遵守すべき事項を定め、職員及び受託者に情報セキュリティ対策の内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を講ずる。
(3)技術的セキュリティ対策
情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずる。
(4)運用面におけるセキュリティ対策
システム開発等の外部委託、ネットワークの監視、情報セキュリティ対策の遵守状況の確認等の運用面の対策を講ずる。
(5)緊急時におけるセキュリティ対策
緊急事態が発生した際に迅速かつ適切な対応を可能とするための危機管理対策を講ずる。
8.情報セキュリティ対策基準の策定
町の様々な情報資産について、上記7の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為、判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準(以下「対策基準」という。)を策定するものとする。
9.情報セキュリティ実施手順の策定
基本方針及び対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定めていく必要がある。そのため、対策基準の基本的な要件に基づき、個々の情報資産の情報セキュリティ実施手順(以下「実施手順」という。)を策定するものとする。
10.職員及び受託者の義務
職員及び受託者は、情報セキュリティの重要性について共通の認識をもつとともに、業務の遂行において、法令、基本方針、対策基準及び実施手順を遵守する義務を負うものとする。
11.法令、基本方針、対策基準及び実施手順に違反した職員及び受託者への対応
法令、基本方針、対策基準及び実施手順に違反した職員及び受託者については、その重大性、発生した事案の状況等に応じて厳正に対応するものとする。
12.情報セキュリティ監査の実施
法令、基本方針、対策基準及び実施手順が遵守されていることを検証するため、定期的に監査を実施するものとする。
13.評価及び見直しの実施
情報セキュリティ監査の結果等により、基本方針、対策基準及び実施手順に定める事項の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、基本方針、対策基準及び実施手順の見直しを実施するものとする。