○利府町情報セキュリティ基本方針
平成26年3月24日
訓令第3号
利府町情報セキュリティ基本方針(平成17年利府町訓令第3号)の全部を改正する。
(目的)
第1条 この訓令は、町が所管する情報資産を、情報システムの誤操作、不正アクセス及びコンピュータウィルス等による盗聴、漏えい、改ざん及び破壊並びに災害等の脅威から保護し、その機密性、完全性及び可用性を維持することで情報セキュリティ事故の発生を未然に防止するため、町が実施する情報セキュリティの対策について基本的な事項を定めることを目的とする。
(1) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェアをいう。)をいう。
(2) 情報システム コンピュータ、ネットワーク及び電磁的記録(電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られた記録をいう。)媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報資産 情報システム、情報システムに記録された電磁的記録並びに情報システムで取り扱う情報(これらを印刷した文書を含む。)、情報システムの仕様書及びネットワーク図等のシステム関連文書をいう。
(4) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(5) 情報セキュリティポリシー この訓令及び情報セキュリティ対策基準(以下「対策基準」という。)をいう。
(6) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(7) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(8) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(平28訓令2・一部改正)
(対象とする脅威)
第3条 町は、情報資産に対する脅威として、次の各号に掲げる脅威を想定し、情報セキュリティの対策を実施する。
(1) 情報システムを利用した部外者の侵入、不正アクセス及びウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん並びに消去並びに重要情報の詐取
(2) 職員又は外部委託事業者による次に掲げる事項
ア 情報資産の無断持ち出し、町が許可しないソフトウェアの無断使用等の規定違反及び内部不正等
イ 設計及び開発の不備、プログラム上の欠陥、操作並びに設定誤り並びにメンテナンス不備
ウ 内部又は外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥並びに機器故障等の非意図的要因による情報資産の漏えい、破壊及び消去
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模又は広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等の提供サービスの障害からの波及等
(平28訓令2・一部改正)
(行政機関の範囲)
第4条 この訓令は、町長、水道事業管理者、下水道事業管理者、教育委員会、選挙管理委員会、監査委員、農業委員会及び議会に適用する。
(令2訓令2・一部改正)
(職員の適用範囲)
第5条 この訓令は、地方公務員法(昭和25年法律第261号)第3条第1項に規定する一般職(臨時、非常勤及び再任用の職員を含む。)及び特別職の職員並びに地方公営企業法(昭和27年法律第292号)第15条第1項に規定する企業職員(以下「職員」という。)に適用する。
(職員の義務)
第6条 職員は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティに関する法令、情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。
(情報セキュリティ対策組織)
第7条 町は、所管する情報資産について、統一的に情報セキュリティの対策を推進及び管理するため、全庁的な組織体制を整備するものとする。
(情報資産の分類及び管理)
第8条 町は、所管する情報資産について、機密性、完全性及び可用性に応じて分類し、その分類に応じた情報セキュリティの対策を実施するものとする。
(1) 物理的対策 サーバ等、情報システム室等、通信回線等及び職員のパソコン等の管理に係る物理的な対策
(2) 人的対策 情報セキュリティに関し、職員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策
(3) 技術的対策 コンピュータ等の管理、情報資産へのアクセス制御、不正プログラム対策及び不正アクセス対策等の技術的な対策
(4) 運用対策 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策及び情報資産へのセキュリティ侵害が発生した場合等に迅速かつ適切に対応するための緊急時対応計画の策定
(平28訓令2・一部改正)
(情報セキュリティ監査の実施)
第10条 町は、情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(情報セキュリティポリシーの評価及び見直し)
第11条 町は、前条の監査及び自己点検の結果により、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーの見直しを行うものとする。
(情報セキュリティ対策基準)
第12条 町は、前3条に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める対策基準を策定する。
(情報セキュリティ実施手順)
第13条 町は、対策基準に基づき、具体的な手順を定めた情報セキュリティ実施手順(以下「実施手順」という。)を策定する。
(対策基準及び実施手順の取扱い)
第14条 対策基準及び実施手順は、非公開とする。
(委任)
第15条 この訓令に定めるもののほか、情報セキュリティに関し必要な事項は、対策基準で定める。
附 則
この訓令は、平成26年4月1日から施行する。
附 則(平成28年訓令第2号)
この訓令は、平成28年3月30日から施行する。
附 則(令和2年訓令第2号)
この訓令は、令和2年4月1日から施行する。