三木市情報セキュリティポリシー
三木市の保有する情報資産を適切かつ安全に管理するために、情報セキュリティポリシーを定めました。そのうち行政及び学校教育共通の情報セキュリティに関する基本的な方針は、下記のとおりです。
(平成15年6月20日)
三木市情報セキュリティ基本方針
1 趣旨
三木市(以下「市」という。)の各情報システムが取り扱う情報には、市民の個人情報のみならず行政や学校の運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれており、これらの情報及び情報を取り扱う情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、事務の継続的かつ安定的な運営のためにも必要不可欠である。このことがひいては市に対する市民からの信頼の維持向上にも寄与するものである。
そのため、市が保有する情報資産の機密の保持、正確性及び完全性を維持することを目的として情報セキュリティポリシーを策定し、情報セキュリティ対策を総合的かつ体系的に実施するものである。
2 用語の定義
- ネットワーク
コンピュータを相互に接続するための通信網及びその構成機器ハードウエア及びソフトウエアをいう。 - 情報システム
コンピュータやネットワークで構成され、情報処理を行う仕組みをいう。 - 情報資産
情報システムで取り扱うすべての電磁的に記録されたデータをいう。 - 情報セキュリティ
情報資産の機密の保持、正確性及び完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
3 適用範囲
この方針は、市が保有する情報資産並びに情報資産に接するすべての職員、非常勤職員、臨時職員(以下これらを「職員等」という。)及び外部委託事業者について適用する。
4 情報資産への脅威
情報資産に対する脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は次に掲げるとおりである。
- 部外者による故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し、盗聴、改ざん、消去並びに機器及び記録媒体の盗難等
- 職員等又は外部委託事業者による意図しない操作、故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し、盗聴、改ざん、消去並びに機器及び記録媒体の盗難及び規定外の情報システムの機器操作によるデータ漏洩等
- コンピュータウィルス、地震、落雷、火災等の災害や事故、故障等
5 情報セキュリティ対策
情報資産を前項の脅威から保護するため、次に掲げる情報セキュリティ対策を講じるものとする。
- 人的セキュリティ対策
情報セキュリティに関する権限及び責任並びに遵守すべき事項を定め、職員等に対する周知徹底を図るとともに、十分な教育及び啓発が行われるよう必要な対策を講じる。 - 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り並びに情報資産への損傷及び妨害等から保護するための物理的な対策を講じる - 技術的セキュリティ対策
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術的対策を講じる。 - 運用等におけるセキュリティ対策
ネットワークの監視、情報セキュリティ対策の遵守状況の確認等、運用面の対策を講じる。また、緊急事態が発生した際に迅速かつ適切な対応を可能とするための危機管理対策を講じる。
6 情報セキュリティ対策の体系
- 情報セキュリティ対策は次に掲げる3つの階層をもって体系的に実施するものとする。
ア 情報セキュリティ基本方針(以下「基本方針」という。)
情報セキュリティ対策に関する統一的かつ基本的な方針を定めたものであり、情報セキュリティ対策の最上位に位置する。
イ 情報セキュリティ対策基準(以下「対策基準」という。)
基本方針に基づき、情報セキュリティ対策を実施に当たっての遵守すべき事項及び判断等の統一的な基準を定めたものであり、基本方針の下層に位置する。
ウ 情報セキュリティ実施手順(以下「実施手順」という。)
基本方針及び対策基準に基づき、個々の情報システムについて情報セキュリティ対策を具体的に実施するための手順を定めたものであり、対策基準の下層に位置する。 - 前号に掲げる基本方針及び対策基準を総称して、情報セキュリティポリシーという。
7 情報セキュリティ管理体制
情報資産について、適切に情報セキュリティ対策を推進及び管理するための体制を確立するものとする。
8 情報資産の分類
情報資産をその重要度に応じて分類し、それに応じた情報セキュリティ対策を行うものとする。
9 対策基準及び実施手順の扱い
対策基準及び実施手順は、公にすることにより市の行政運営に重大な支障を及ぼすおそれのある情報であることから非公開とする。
10 職員等及び外部委託事業者の義務
職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たっては、情報セキュリティに関係する法令等及び情報セキュリティポリシーを遵守する義務を負うものとする。
11 情報セキュリティに関する違反への対応
情報セキュリティポリシーに違反した者については、その重大性、発生した事案の状況等に応じて懲戒処分等の対象とする。
12 情報セキュリティ監査の実施
情報セキュリティ対策が遵守されていることを検証するため、定期的に監査を実施するものとする。
13 評価及び見直しの実施
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報システムの変更、情報セキュリティを取り巻く状況の変化を踏まえ、情報セキュリティポリシー及び実施手順の見直しを適宜実施するものとする。