ページの先頭です。 メニューを飛ばして本文へ
現在地 トップページ > 組織でさがす > 財務部 > 情報政策課 > 四国中央市情報セキュリティポリシー

本文

四国中央市情報セキュリティポリシー

印刷ページ表示
<外部リンク>
記事ID:0004153 更新日:2020年9月7日更新

構成

 情報セキュリティポリシーとは、四国中央市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に定めたものを総称する。情報セキュリティポリシーは、四国中央市が所掌する情報資産に関する業務に携わる全職員(非常勤嘱託員、臨時職員を含む。以下「職員等」という。)及び外部委託事業者に浸透、定着させるべき、安定的な規範であるが、一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも要求されるものである。
 このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)の2つから構成することとする。

具体的には、情報セキュリティポリシーを、

  1. 情報セキュリティ基本方針
  2. 情報セキュリティ対策基準

の2構成に分け、それぞれを策定する。また、情報セキュリティポリシーに基づき、情報システム毎の具体的な情報セキュリティ対策の実施手順として「情報セキュリティ実施手順」(運用マニュアル)を策定することとする(下表参照)。

文書名 内容
情報セキュリティ基本方針 情報セキュリティ対策に関する統一的かつ基本的な方針
情報セキュリティ対策基準 情報セキュリティ基本方針を実行に移すためのすべてのネットワーク及び情報システムに共通の情報セキュリティ対策の基準
情報セキュリティ実施手順 ネットワーク及び情報システム毎に定める情報セキュリティ対策基準に基づいた具体的な実施手順

公開は基本方針、非公開は対策基準と実施基準

情報セキュリティ基本方針

1.目的

近年、個人情報保護に対する社会の関心が高まる中、地方公共団体は、法令等に基づき、住民の個人情報や企業の経営情報等の重要情報を多数保有するとともに、業務の多くが情報システムやネットワークに依存している。こうした情報化社会の中で、住民生活や地域の社会経済活動を保護するためには、情報セキュリティ対策を講じて、その保有する情報を守り、業務を継続することは、地方公共団体の重要な責務となっている。
仮に四国中央市の各情報システムが取り扱う情報の外部漏洩等が発生した場合には、当市の信用は著しく失墜し、住民生活や社会経済活動に極めて重大な被害を招くことが想定されるだけでなく、日本国政府が国家戦略として取り組んでいる世界最先端のIT国家の実現に重大な影響を与える。これら情報資産並びに情報資産を取り扱うネットワーク及び情報システムを災害、事故から、あるいは人的脅威を含めた様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、安定的な行政サービスを実施するためにも必要不可欠である。
また、近年のいわゆるIT革命の進展により、電子マネー、電子商取引の発展や電子自治体の構築が現実のものとなっている。四国中央市がこれらに迅速に対応していくためには、すべてのネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件となる。
このため、四国中央市の情報資産の機密性、完全性及び可用性を維持するための対策
(情報セキュリティ対策)を整備するために四国中央市情報セキュリティポリシーを定め、セキュリティの確保に最大限取り組むこととする。
このうち、情報セキュリティ基本方針については四国中央市の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。

2.定義

  1. ネットワーク
    四国中央市が各機関・施設を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
  2. 情報システム
    コンピュータ(ハードウェア及びソフトウェアの総称)、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
  3. 情報セキュリティ
    情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
  4. 機密性
    情報にアクセスすることが認可された者だけが、情報にアクセスできる状態を確保にすることをいう。
  5. 完全性
    情報が破壊、改ざん又は消去されていない状態を確保することをいう。
  6. 可用性
    情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

3.情報セキュリティポリシーの位置付けと職員等及び外部委託事業者の義務

情報セキュリティポリシーは、四国中央市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
したがって、四国中央市長をはじめとして四国中央市が所掌する情報資産に関する業務に携わるすべての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。

4.情報セキュリティ管理体制

四国中央市の情報資産について、幹部が率先して情報セキュリティ対策を推進、管理するための体制を確立するものとする。

5.情報資産の分類

情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。

6.情報資産への驚異

情報セキュリティポリシーを策定するうえで、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮するものとする。特に認識すべき脅威は以下のとおりである。

  1. 部外者又は権限外の者による機器の破壊・盗難並びに故意の不正アクセス又は不正操作による情報資産へのウイルス攻撃、サービス不能攻撃等の意図的な要因による破壊・漏えい・改ざん・消去等
  2. 職員等又は外部委託事業者による機器又は情報資産の無断持ち出し、アクセスのための認証情報又はパスワードの不適切管理、無許可ソフトウェアの使用等の規定違反、プログラム上の欠陥、操作ミス、故障等の非意図的要因による情報資産の漏えい・破壊・消去、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏えい等
  3. コンピュータウイルス又は地震、落雷、火災等の災害によるサービス及び業務の停止等

7.適用範囲

情報セキュリティポリシーを適用する行政機関及び情報資産の範囲は、情報セキュリティ対策基準で定める。

8.情報セキュリティ対策

上記6で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。

  1. 組織体制
    本市の情報資産について、情報セキュリティ対策を推進するため四国中央市情報セキュリティ委員会を設置する。
  2. 情報資産の分類と管理
    本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
  3. 物理的セキュリティ
    サーバ等、情報システム室事務室及びサーバ又はホストコンピュータを設置しているサーバ室等、通信回線等並びに職員等のパソコン等の管理について、物理的な対策を講じる。
  4. 人的セキュリティ
    情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
  5. 技術的セキュリティ
    コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
  6. 運用
    情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。

9.情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

10.情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

11.情報セキュリティ対策基準の策定

上記8,9及び10に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

12.情報セキュリティ実施手順の策定

情報セキュリティ対策を確実かつ安定的に実施するために、個々の情報資産の対策手順等をそれぞれ定めていく必要がある。そのため、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。
なお、情報セキュリティ実施手順は、公にすることにより四国中央市セキュリティ運営に重大な支障を及ぼす恐れのある情報であることからこれを非公開とする。

お問い合わせ

四国中央市 情報政策課
住所:〒799-0497 四国中央市三島宮川4丁目6番55号
電話:0896-28-6204 ファクス:0896-28-6179
Eメール:johoseisaku@city.shikokuchuo.ehime.jp