更新日:2024年8月30日
ここから本文です。
伊豆の国市の各情報システムが取り扱う情報には、住民の個人情報のみならず行政運営上重要な情報など、部外に漏洩等した場合に極めて重大な結果を招く情報が多数含まれている。
したがって、これらの情報及び情報を取り扱う情報システムを様々な脅威から防御することは、住民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが伊豆の国市に対する住民からの信頼の維持向上に寄与するものである。
また、近年のいわゆるIT革命の進展により、電子商取引の発展や電子自治体の実現が期待されているところである。伊豆の国市がこれらに積極的に対応するためには、すべてのネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件である。
そこで、伊豆の国市の情報資産の機密性、完全性及び可用性を維持するための対策(情報セキュリティ対策)を整備するための基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。
コンピュータに使用される磁気ディスク、磁気テープ、光ディスク等電子的方式、磁気的方式その他の人の知覚によって認識することができない方式により情報を記録する媒体をいう。
伊豆の国市における内部組織及び関係機関を相互に接続するための通信網及びその構成機器(ハードウエア及びソフトウエア)で構成され、通信を行う仕組みをいう。
電磁的記録(電子的方式、磁気的方式その他の人の知覚によって認識することができない方式で作られた記録)、及び電磁的記録を出力した紙媒体、マニュアル等をいう。
コンピュータ、記録媒体及びネットワークを利用して処理を行う仕組みをいう。
情報システム及び情報システムで取扱う情報をいう。
情報資産の機密性、完全性及び可用性を維持することをいう。
情報セキュリティポリシーは、伊豆の国市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
情報セキュリティ基本方針の対象範囲は、伊豆の国市が所掌する情報資産(小中学校における教育に係る情報は除く)及び情報資産を取扱うすべての職員(会計年度任用職員及び臨時的任用職員を含む。ただし、小中学校に勤務する教職員を除く。)とする。
職員は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用に当たっては情報セキュリティポリシーを遵守するものとする。
伊豆の国市の情報資産について、適切に情報セキュリティ対策を推進するための体制を確立するものとする。
情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。
情報セキュリティポリシーを策定する上で、情報資産を脅かす脅威の生じ度合や生じた場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
サイバー攻撃をはじめとする部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の搾取、内部不正等
情報資産の無断持ち出し、無許可ソフトウエアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
地震、落雷、火災等の自然災害によるサービス及ぶ業務停止、大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全、電力供給の途絶、通信の途絶、水道供給の途絶等の提供サービスの障害からの波及等
上記8で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。
伊豆の国市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
伊豆の国市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
サーバ、サーバ室、通信回線及び職員のパソコン等の管理について物理的対策を講じる。
情報セキュリティに関する権限、責任及び遵守すべき事項を明確に定め、すべての職員に情報セキュリティポリシーの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を講ずる。
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するための危機管理対策を講じる。
伊豆の国市の様々な情報資産について、上記9の情報セキュリティ対策を講ずるに当たっての遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
なお、情報セキュリティ対策基準は、公にすることにより伊豆の国市の行政運営に重大な支障を及ぼす恐れのある情報であることから非公開とする。
情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産対策の手順をそれぞれ定めていく必要がある。そのため、情報資産に対する脅威及び情報資産の重要度に対応する情報セキュリティ対策基準の基本的な要件に基づき、内部部局の長等が所掌する情報資産の情報セキュリティ実施手順を策定するものとする。
なお、情報セキュリティ実施手順は、公にすることにより伊豆の国市の行政運営に重大な支障を及ぼす恐れのある情報であることから非公開とする。
情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。
お問い合わせ先
より良いウェブサイトにするためにみなさまのご意見をお聞かせください