鹿沼市情報セキュリティ基本方針

Topへ

鹿沼市情報セキュリティ基本方針

平成２５年２月１４日施行

１ 目的

地方自治体は、その責務を果たすために必要な情報の収集・保有・利用において、その安全性を確保し、適切に保護しなければならない。この目的を達成するため、鹿沼市情報セキュリティポリシー（以下「ポリシー」という。）を策定する。

２ ポリシーの構成

ポリシーは、情報セキュリティ基本方針（以下「基本方針」という。）及び情報セキュリティ対策基準（以下「対策基準」という。）により構成する。内容は以下のとおりとする。

(1) 基本方針 ポリシー全体を統括する理念及び情報セキュリティ対策に関する統一的かつ基本的な方針

(2) 対策基準 基本方針を実行するため、本市が行政全般で利用する情報システム及びこれらを操作することにより作成、保管される情報資産に関する情報セキュリティ対策の基準

なお対策基準の実現のため、情報システム及び情報資産の具体的な保護対策を「情報セキュリティ対策実施手順（以下「実施手順」という。）」として定める。

３ 定義

(1)「情報システム」とは、コンピュータ及びその周辺機器、ソフトウェア、ネットワーク等で構成され、これらの組合せにより業務処理を行うものをいう。

(2)「ネットワーク」とは、情報を共有又は送受信するための通信網及びその機器構成をいう。

(3)「情報資産」とは、次のものをいう。

ア 情報システム上で取扱う情報及びこれらを印刷した文書、記録媒体

イ 情報システムの仕様書及びネットワーク図等のシステム関連文書

ウ 情報システムに関する設備、記録媒体

(4)「情報セキュリティ」とは、情報の「機密性」、「完全性」及び「可用性」が確保されている状態をいう。

ア「機密性」とは、情報へのアクセス権限のない者が、アクセスできない状態をいう。

イ「完全性」とは、情報及び処理の方法が正確で完全である状態を安全防護することをいう。

ウ「可用性」とは、許可された利用者が、必要なときに情報にアクセスできることをいう。

2

(5)「脅威」とは、情報セキュリティを脅かす様々な危険性（リスク）をいう。

４ 適用範囲及び対象者

ポリシーは、本市の全ての情報システム及び情報資産を適用範囲とし、それを取り扱う全ての者を対象者とする。

５ 組織及び管理体制

ポリシーの適正な管理と推進のため、鹿沼市情報セキュリティ対策委員会（以下「委員会」という。）を設置する。委員会の所掌業務は、次のとおりとする。

(1) 情報セキュリティ対策の立案に関すること

(2) 情報セキュリティ対策の遵守状況の確認に関すること

(3) 情報セキュリティ研修に関すること

(4) 情報セキュリティ監査に関すること

６ 管理職員及び職員等の役割

(1) 本市の管理職員は、自らの責任と権限において率先して情報セキュリティ対策を推進するための体制を確立し、又はその取組に協力する。

(2) 職員等は、ポリシー及び関係法令等を遵守し、情報セキュリティの確保に努める。

７ 外部委託

本市の情報システム及び情報資産の管理や処理業務を業者等に委託する際は、ポリシーの遵守を義務づけなくてはならない。

８ 情報セキュリティ対策

情報セキュリティの維持を妨げる脅威に対し、その発生頻度及び発生した場合の影響度合いに鑑み、次のとおり対策を講ずる。

(1) 物理的セキュリティ対策

ア 情報システムを設置する施設及び情報資産を保管している施設への不正な侵入を防止する。

イ 情報システム及び情報資産を盗難、破壊、き損、データ消去、利用妨害から保護する。

ウ 地震、火災等の災害や停電、ネットワーク障害等から情報システム及び情報資産を保護する。

(2) 技術的セキュリティ対策

情報資産をコンピュータウィルスや不正アクセス、改ざん行為等から保護するため、ウィルス対策ソフトの導入やアクセス制御など、技術面の対策を行う。

3

(3) 人的セキュリティ対策

ア 職員等及び処理業務の受託業者等、対象者についてポリシーを周知徹底する。

イ ポリシーの対象者に必要な教育・訓練を行う。

(4) 運用セキュリティ対策

外部委託の制限、情報システム利用状況の監視や分析、ポリシー遵守状況の確認など、運用面における対策を行う。

(5) 緊急時対策

システム障害や情報漏えい事故等の緊急事態が発生した際に、迅速かつ適切な対応を行う。

９ 対策基準及び実施手順の策定

情報セキュリティ対策を講ずるため、対策基準及び実施手順を策定する。なお、対策基準及び実施手順については、公にすることにより本市のセキュリティ対策の実施に重大な支障を及ぼすおそれがあるため、原則非公開とする。

10 監査及び自己点検

ポリシーの遵守の状況及び基準の検証を行うため、委員会は定期又は必要に応じた情報セキュリティ監査及び自己点検を実施する。

11 ポリシーの見直し

委員会は、情報セキュリティ監査及び自己点検等の結果等に基づき、ポリシーの見直しが必要となった場合及び情報セキュリティに関する新たな課題や状況への対応が必要となった場合、ポリシーの見直しを行う。