○舟橋村情報セキュリティポリシー
(平成16年1月7日要領第1号) |
|
(序 情報セキュリティポリシーの構成)
情報セキュリティポリシーとは、舟橋村が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものを総称する。情報セキュリティポリシーは、舟橋村が所掌する情報資産に関する業務に携わる全職員、非常勤、臨時職員(以下「職員等」という。)及び外部委託事業者に浸透、普及、定着させるものであり、安定的な規範であることが要請される。しかしながら一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。
このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとする。
情報セキュリティポリシーの構成
文書名 | 内容 | |
情報セキュリティポリシー | 情報セキュリティ基本方針 | 情報セキュリティ対策に関する統一的かつ基本的な方針 |
情報セキュリティ対策基準 | 情報セキュリティ基本方針を実行に移すための全てのネットワーク及び情報システムに共通の情報セキュリティ対策の基準 | |
情報セキュリティ実施手順 | ネットワーク及び情報システムごとに定める情報セキュリティ対策基準に基づいた具体的な実施手順 |
附 則(平成25年3月8日要領第1号)
|
この要領は、平成25年3月31日から施行する。
舟橋村情報セキュリティ基本方針
1 目的 | ||
舟橋村の各情報システムが取り扱う情報には、村民の個人情報のみならず行政運営上重要な情報など、外部への漏えい等が発生した場合には極めて重大な結果を招く情報が多数含まれている。
したがって、情報資産及び情報資産を取り扱うネットワーク及び情報システムを様々な脅威から防御することは、村民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが舟橋村に対する村民からの信頼の維持向上に寄与するものである。 また、近年のIT革命により、HPでの情報公開、LGWANへの接続等、舟橋村の情報化、ネットワーク化もますます進展してきており、電子自治体を構築するためには、全てのネットワーク及び情報システムが高度な安全性を有することが必要不可欠な前提条件となってきている。 そのため、舟橋村の情報セキュリティ対策を整備した、情報セキュリティポリシー(情報セキュリティ基本方針、情報セキュリティ対策規準)を定める。 このうち、情報セキュリティ基本方針については舟橋村の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。 |
||
2 定義 | ||
(1) 部局等 | ||
舟橋村における村長部局、各行政委員会及び各教育機関をいう。 | ||
(2) ネットワーク | ||
部局等を相互に接続するための通信網、通信機器(ハードウェア及びソフトウェア)、及び記録媒体で構成された情報伝達を行う仕組みをいう。 | ||
(3) 情報システム | ||
ネットワークに加え、業務系の電子計算機(ハードウェア及びソフトウェア)、及び記録媒体で構成された業務処理を行う仕組みをいう。 | ||
(4) 情報資産 | ||
ネットワーク及び情報システムの開発と運用に関わる全ての電子情報及び情報システムより出力された帳票をいう。 | ||
(5) 情報セキュリティ | ||
情報資産の機密性、完全性、可用性(注)を維持することをいう。 | ||
(6) 情報セキュリティ対策 | ||
情報セキュリティの阻害要因から情報資産を守るための手段をいう。
(注):国際標準化機構(ISO)が定めるもの(ISO7498―2:1989) 機密性(confidentiality) 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。 完全性(integrity) 情報及び処理の方法の正確さ及び完全である状態を安全防護すること。 可用性(availability) 許可された利用者が必要なときに情報にアクセスできることを確実にすること。 |
||
3 情報セキュリティポリシーの位置付け | ||
情報セキュリティポリシーは、舟橋村が所掌する情報資産に関する情報セキュリティ対策について、総合的かつ体系的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。 | ||
4 情報セキュリティポリシーの対象範囲 | ||
この情報セキュリティポリシーが対象とする行政機関の範囲は部局等とする。ただし、各教育機関の対象範囲は事務室及び職員室とする。 | ||
5 職員等及び外部委託事業者の義務 | ||
舟橋村長をはじめとして舟橋村が所掌する情報資産に関する業務に携わる全ての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。 | ||
6 情報資産の分類 | ||
情報資産はその重要度に応じて分類し、その分類に応じた情報セキュリティ対策を行うものとする。 | ||
7 情報資産への脅威 | ||
情報セキュリティポリシーを策定するうえで、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。 | ||
(1) 外部要因 | ||
・部外者の侵入による→機器又は情報資産の破壊・盗難
・不正アクセス又は不正操作による→情報資産の破壊・盗聴・改ざん・消去 |
||
(2) 内部要因 | ||
・職員等又は外部委託事業者の不正による→機器又は情報資産の持出し
・認証情報又はパスワードの不適切管理による→情報資産の破壊・盗聴・改ざん・消去 ・不正アクセス又は不正行為による→情報資産の破壊・盗聴・改ざん・消去 ・搬送中の事故又は不適切管理による→機器又は情報資産の盗難 ・規定外の端末接続による→データ漏えい |
||
(3) その他 | ||
・コンピュータウィルスによる→サービス及び業務の停止
・地震、落雷、火災等の災害による→サービス及び業務の停止 ・事故、故障による→サービス及び業務の停止 |
||
8 情報セキュリティ対策 | ||
上記6で示した脅威から情報資産を保護するために、物理的、人的、技術的及び運用におけるセキュリティ対策を講ずるものとする。 | ||
9 情報セキュリティ対策基準の策定 | ||
舟橋村の様々な情報資産について、上記7の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
なお情報セキュリティ対策基準は、公にすることにより舟橋村の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。 |
||
10 情報セキュリティ実施手順の策定 | ||
情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するためには、その手順を具体的に定めていく必要がある。そのため、個々のネットワーク、情報システム又は情報資産の特色に応じたセキュリティ対策を明記した、情報セキュリティ実施手順を策定するものとする。
なお情報セキュリティ実施手順は、公にすることにより舟橋村の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。 |
||
11 情報セキュリティ監査の実施 | ||
情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。 | ||
12 評価及び見直しの実施 | ||
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。 |