○利府町情報セキュリティ基本方針
平成26年3月24日
訓令第3号
利府町情報セキュリティ基本方針(平成17年利府町訓令第3号)の全部を改正する。
(目的)
第1条 この訓令は、町が保有する情報資産の機密性、完全性及び可用性を維持するため、町が実施する情報セキュリティの対策について基本的な事項を定めることを目的とする。
(令4訓令8・一部改正)
(1) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェアをいう。)をいう。
(2) 情報システム コンピュータ、ネットワーク及び電磁的記録(電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られた記録をいう。以下同じ。)媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報資産 情報システム、情報システムに記録された電磁的記録、情報システムで取り扱う情報(これらを印刷した文書を含む。)、情報システムの仕様書及びネットワーク図等のシステム関連文書をいう。
(4) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(5) 情報セキュリティポリシー この訓令及び情報セキュリティ対策基準(以下「対策基準」という。)をいう。
(6) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(7) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(8) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(9) マイナンバー利用事務系 個人番号利用事務(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第10項に規定する個人番号利用事務をいう。)、戸籍事務等に係る情報システム及び当該情報システムで取り扱う情報をいう。
(10) LGWAN接続系 LGWAN(国及び地方公共団体の組織内ネットワークを相互に接続するためのネットワークをいう。以下同じ。)に接続された情報システム及び当該情報システムで取り扱う情報(マイナンバー利用事務系を除く。)をいう。
(11) インターネット接続系 インターネットに接続された情報システム及び当該情報システムで取り扱う情報をいう。
(12) 通信経路の分割 LGWAN接続系とインターネット接続系の両環境の通信環境を分離し、安全が確保された通信だけを許可できるようにすることをいう。
(13) 無害化通信 インターネットメール本文のテキスト化、端末への画面転送等により、コンピュータウィルス等の不正プログラムの付着等がなく、安全が確保された通信をいう。
(平28訓令2・令4訓令8・一部改正)
(対象とする脅威)
第3条 町は、情報資産に対する脅威として、次の各号に掲げる脅威を想定し、情報セキュリティの対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん及び消去並びに重要情報の詐取
(2) 職員又は外部委託事業者による次に掲げる事項
ア 情報資産の無断持ち出し、町が許可しないソフトウェアの無断使用等の規定違反及び内部不正等
イ 設計及び開発の不備、プログラム上の欠陥、操作並びに設定誤り並びにメンテナンス不備
ウ 内部又は外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥並びに機器故障等の非意図的要因による情報資産の漏えい、破壊及び消去
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模又は広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等の提供サービスの障害からの波及等
(平28訓令2・令4訓令8・一部改正)
(適用範囲)
第4条 この訓令は、町長、水道事業管理者、下水道事業管理者、教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会(以下「町長等」という。)に適用する。
(令2訓令2・令4訓令8・一部改正)
(職員の義務)
第5条 町長等の事務局に勤務する職員(地方公務員法(昭和25年法律第261号)第3条第1項に規定する一般職及び特別職の職員をいう。以下同じ。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティに関する法令、情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。
(令4訓令8・旧第6条繰上・一部改正)
(1) 組織体制の確立 情報セキュリティ対策を推進し、管理するための全庁的な組織体制の確立
(2) 情報資産の分類及び管理 情報資産の機密性、完全性及び可用性に応じた分類及びその分類に応じた情報セキュリティ対策の実施
(3) 情報システム全体の強靭性の向上 次に掲げる情報システム及び情報の区分に応じ、それぞれ次に定める対策の実施
ア マイナンバー利用事務系 他の情報システム等との通信の原則遮断並びに端末からの情報持出不可設定及び端末への多要素認証の導入
イ LGWAN接続系 通信経路の分割又は無害化通信の使用
ウ インターネット接続系 不正通信監視機能の強化等
(4) 物理的対策 サーバ、情報システム室、通信回線、職員のパソコン等の管理に係る物理的な対策の実施
(5) 人的対策 情報セキュリティに関し、職員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策の実施
(6) 技術的対策 コンピュータ等の管理、情報資産へのアクセス制御、不正プログラム対策、不正アクセス対策等の技術的な対策の実施
(7) 運用対策 情報システムの監視、情報セキュリティポリシーの遵守状況の確認等の情報セキュリティポリシーの運用面の対策の実施及び情報資産に対するセキュリティ侵害が発生した場合等に迅速、かつ、適切に対応するための緊急時対応計画の策定
(8) 業務委託等に係る対策 次に掲げる利用の区分に応じ、それぞれ次に定める対策の実施
ア 業務委託 情報セキュリティを確保できる者の選定、情報セキュリティ要件を明記した契約の締結及び定期的なセキュリティ対策の履行確認
イ 外部サービスの利用 利用に係る規定の整備、第2号の規定による情報資産の分類及び外部サービスの特性に応じたセキュリティ対策
(平28訓令2・一部改正、令4訓令8・旧第9条繰上・一部改正)
(情報セキュリティ監査及び自己点検の実施)
第7条 町は、情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(令4訓令8・旧第10条繰上・一部改正)
(情報セキュリティポリシーの見直し)
第8条 町は、前条の監査及び自己点検の結果により、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーの見直しを行うものとする。
(令4訓令8・旧第11条繰上・一部改正)
(情報セキュリティ対策基準)
第9条 町は、前3条に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める対策基準を策定する。
(令4訓令8・旧第12条繰上)
(情報セキュリティ実施手順)
第10条 町は、情報セキュリティ対策を実施するための対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定する。
2 前項の情報セキュリティ実施手順は、非公開とする。
(令4訓令8・旧第13条繰上・一部改正)
(委任)
第11条 この訓令に定めるもののほか、情報セキュリティに関し必要な事項は、対策基準で定める。
(令4訓令8・旧第15条繰上)
附則
この訓令は、平成26年4月1日から施行する。
附則(平成28年訓令第2号)
この訓令は、平成28年3月30日から施行する。
附則(令和2年訓令第2号)
この訓令は、令和2年4月1日から施行する。
附則(令和4年訓令第8号)
この訓令は、令和4年4月1日から施行する。