泉佐野市情報セキュリティポリシー
はじめに 情報セキュリティポリシーとは、本市が所掌する情報資産に関する情報セキュリティ対策について取りまとめたものであり、一定の普遍性を備えた基本方針と情報資産を取り巻く状況の変化に依存する対策基準に分けて策定することとした。また、情報セキュリティポリシーに基づき、情報システムごとの具体的な情報セキュリティ対策の実施手順として情報セキュリティ実施手順を策定することとする。
1 情報セキュリティ基本方針
1 目的
本基本方針は、本市が保有する情報資産を様々な脅威から防御し、情報資産の機密性(情報にアクセスすることが認可された者だけがアクセスできることを確実にする)、完全性(情報及び処理方法の正確さ及び完全である状態を安全防御する)及び可用性(許可された利用者が必要なときに情報にアクセスできることを確実にする)を維持するため、必要な事項を定めることを目的とする。
2 定義
本ポリシーの用語の意義は、次のとおりとする。
1. 情報システム
ハードウェア、ソフトウェア及びネットワークにより業務処理を行う仕組みをいう。
2. ネットワーク
コンピュータを相互に接続するための通信網及びその構成機器をいう。
3. 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
4. 情報資産
コンピュータ、情報システム、ネットワーク及びこれらで取り扱うデータをいう。5. ユーザID
情報システムを利用する権利を有するものであることを識別するために割当てる文字列をいう。
6. パスワード
情報システムを利用する者が本人であることを識別するための暗証文字列をいう。
3 職員等の義務
本市が保有する情報資産に接する全職員(非常勤職員及び臨時職員を含む。以下同様。)及び契約により操作等を認められた外部委託者(以下、「外部委託者」という。)は、情報セキュリティの重要性を認識し、業務の遂行にあたって本ポリシーを遵守する義務を負うものとする。
4 情報セキュリティの管理体制
本ポリシーで定める情報セキュリティを積極的に推進するための体制及び役割を定める。
5 情報資産の分類
対象となる情報資産の重要度に応じて分類し、情報セキュリティを確保するための対策は、的確かつ効率的に講じなければならない。
6 情報資産への脅威
情報資産に対する脅威の発生度合いや発生した場合の影響を鑑みて、本ポリシーで想定する脅威は、次のとおりとする。
- 部外者による故意の不正アクセス又は不正操作によるデータやプログラムの持
出・盗聴・改ざん・消去並びに機器及び記録媒体の盗難等 - 職員等による意図しない操作、故意の不正アクセス又は不正操作によるデータや
プログラムの持出・盗聴・改ざん・消去、機器及び記録媒体の盗難並びに規定外
の電子計算機接続や操作によるデータ漏洩等 - 地震、落雷、火災等の災害及び事故、故障等による業務の停止
7 情報セキュリティ対策
情報資産を脅威から保護するため、次に掲げる情報セキュリティ対策を講ずるものとする。
- 物理的セキュリティ対策
電子計算機器を設置している施設への不正な立ち入り、損傷・盗難等から保護するため、入退室管理等の物理的な対策を講ずる。 - 人的セキュリティ対策
情報セキュリティに関する権限や責任を定めるとともに、職員等に対する周知及び徹底を図るとともに、十分な教育・啓発が行われるような対策を講ずる。また、本ポリシーに違反する者に対しては、アクセス規制等の適切な措置を講ずる。 - 技術的及び運用におけるセキュリティ対策
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ウィルス対策ソフト導入等の技術面の対策を講ずる。また、定期的・計画的な保守、監視等の運用面における対策を講ずるとともに、緊急事態の発生に備えた連絡体制の構築等を講ずる。
8 情報セキュリティ対策基準の策定
情報セキュリティ対策を講ずるにあたって、全職員及び外部委託者が遵守すべき事項及び判断等の基準となる基本的用件を明記した情報セキュリティ対策基準を策定するものとする。
9 情報セキュリティ実施手順の策定
情報セキュリティに関する対策の具体的な情報セキュリティ実施手順は、セキュリティ対策基準に基づき、情報システムを所管する各所属において策定するものとする。 なお、情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼす恐れがあることから非公開とする。
10 点検及び見直し
情報セキュリティポリシーに定める事項及び情報セキュリティ対策の点検を実施するとともに、情報システムの変更、新たな脅威等の情報セキュリティに関する社会状況の変化に迅速かつ的確に対応するため、必要に応じて情報セキュリティポリシーの見直しを実施する。
附則
この基本方針は、平成17年2月1日から施行する。