○大月市情報セキュリティ対策基本要綱
平成15年12月24日
告示第75号
(目的)
第1条 大月市の各情報システムが取り扱う情報には、住民の個人情報をはじめ行政運営上重要な情報など、外部への漏えい等が発生した場合には極めて重大な結果を招く情報が多数含まれている。この要綱は、これらの情報資産、情報資産を取り扱うネットワーク及び情報システムを、様々な脅威から防御するための基本的な方針を定めることにより、住民の財産、プライバシー等を守るとともに、事務の安定的な運営を図り、住民からの信頼の維持向上に寄与することを目的とする。
(定義)
第2条 基本方針の用語の意義は、それぞれ次に定めるところによる。
(1) ネットワーク
市長その他市の執行機関及び専用回線で接続するその他の施設を相互に接続するための通信網、その通信機器(ハードウエア及びソフトウエア)及び記録媒体で構成され、処理を行う仕組みをいう。
(2) 情報システム
業務系の電子計算機(業務系におけるネットワーク、ハードウエア及びソフトウエア)及び記録媒体で構成され、処理を行う仕組みをいう。
(3) 情報資産
ネットワーク及び情報システムの開発と運用に係る全ての情報並びにネットワーク及び情報システムで取り扱う全ての情報をいう。なお、情報資産には紙等の有体物に出力された情報も含むものとする。
(4) 情報セキュリティ
情報資産の機密性の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態(可用性)を維持することをいう。
(位置付けと職員等及び外部委託事業者の義務)
第3条 この要綱は、大月市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的にとりまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
2 市長をはじめとして大月市が所掌する情報資産に関する業務に携わる全ての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たってこの要綱を遵守する義務を負うものとする。
(情報セキュリティ管理体制)
第4条 大月市の情報資産について、幹部が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。
(情報資産の分類)
第5条 情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。
(情報資産への脅威)
第6条 情報資産に対して想定される脅威は、次のとおりである。
(1) 部外者の侵入による機器若しくは情報資産の破壊、盗難、故意の不正アクセス又は不正操作による機器若しくは情報資産の破壊、盗聴、改ざん、消去等
(2) 職員若しくは外部委託事業者による機器若しくは情報資産の持ち出し、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス若しくは不正行為による破壊、盗聴、改ざん、消去等、規定以外の端末接続によるデータ漏えい等
(3) コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止
(情報セキュリティ対策)
第7条 情報資産を前条の脅威から保護するために、次の情報セキュリティ対策を講じるものとする。
(1) 人的情報セキュリティ対策
情報セキュリティに関する権限や責任及び遵守すべき事項を定め、すべての職員等及び外部委託事業者にこの方針の内容を周知徹底する等、十分な教育啓発が行われるよう必要な人的対策を講ずる。
(2) 物理的セキュリティ対策
情報資産を有する施設への不正な立ち入り、損傷、盗難等の事故及び災害から情報資産を保護するための物理的な対策を講ずる。
(3) 技術及び運用におけるセキュリティ対策
情報資産を外部からの不正アクセス等やウイルスから保護するため、情報資産へのアクセス制御、ウイルス対策等の技術的対策、情報資産の管理、セキュリティ対策の遵守状況の確認、緊急事態発生時の危機管理対策等、セキュリティ対策の運用面の対策を講ずる。
(情報セキュリティ対策実施に関する要領の策定)
第8条 大月市が所掌する情報資産について、前条各号の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策実施に関する要領(以下「実施に関する要領」という。)を策定するものとする。
(情報セキュリティ実施手順の策定)
第9条 基本方針及び対策基準に基づき、情報セキュリティ対策を実施するため、個々の情報システムについて、具体的な実施手順を明記した情報セキュリティ実施手順(以下「実施手順」という。)を策定するものとする。
2 情報セキュリティ実施手順は、情報資産を脅かす様々な脅威から、行政運営のための重要な情報資産を守るための手順であり、非公開とする。
(情報セキュリティ監査の実施)
第10条 この要綱が遵守されていることを確認するため、定期的に監査を実施する。
(評価及び見直しの実施)
第11条 情報セキュリティ監査の結果等により、この要綱及び実施に関する要領に定める事項並びに情報セキュリティ対策全般の評価を実施するとともに、情報システムの変更や新たな脅威等、情報セキュリティを取り巻く状況の変化を踏まえ、適宜実施に関する要領の見直しを実施する。
附則
この告示は、公布の日から施行する。