○湧水町情報セキュリティポリシー

平成19年3月1日

訓令第1号

目次

序 情報セキュリティポリシーの構成

第1章 情報セキュリティ基本方針

1 目的

2 定義

(1) ネットワーク

(2) 情報システム

(3) 情報資産

(4) 情報セキュリティ

3 情報セキュリティポリシーの位置付けと職員等の義務

4 情報セキュリティ管理体制

5 情報資産の分類

6 情報資産への脅威

7 情報セキュリティ対策

(1) 物理的セキュリティ対策

(2) 人的セキュリティ対策

(3) 技術及び運用におけるセキュリティ対策

8 情報セキュリティ対策基準の策定

9 情報セキュリティ監査の実施

10 評価及び見直しの実施

第2章 湧水町行政全般における情報セキュリティ対策基準

1 対象範囲

2 組織・体制

3 情報の分類と管理

(1) 情報の管理責任

(2) 情報の分類と管理方法

4 物理的セキュリティ

(1) サーバ等

(2) 管理区域

(3) ネットワーク

(4) 職員等の端末等

5 人的セキュリティ

(1) 役割・責任

(2) パスワードの管理

(3) ICカード等の管理

6 技術的セキュリティ

(1) コンピュータ及びネットワークの管理

(2) アクセス制御

(3) システム開発,導入,保守等

(4) コンピュータウイルス対策

(5) 不正アクセス対策

(6) セキュリティ情報の収集

7 運用

(1) 情報システムの監視

(2) 情報セキュリティポリシーの遵守状況の確認

(3) 運用管理における留意点

(4) 侵入時の対応

8 法令遵守

9 情報セキュリティに関する違反に対する対応

10 評価・見直し

(1) 監査

(2) 点検

(3) 情報セキュリティポリシーの更新

11 その他

附則

序 情報セキュリティポリシーの構成

情報セキュリティポリシーとは,湧水町が所掌する情報資産に関する情報セキュリティ対策について,総合的,体系的かつ具体的に取りまとめたものを総称する。

情報セキュリティポリシーは,湧水町が所掌する情報資産に関する業務に携わる全職員,非常勤及び臨時職員(以下「職員等」という。)に浸透させ,普及させ,及び定着させるものであり,安定的な規範であることが要請される。しかしながら一方では,技術の進歩に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。

このようなことから,情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとした。

具体的には,情報セキュリティポリシーを,①情報セキュリティ基本方針及び②情報セキュリティ対策基準の2階層に分け,それぞれを策定することとする。また,情報セキュリティポリシーに基づき,情報システムごとの具体的な情報セキュリティ対策の実施手順は,必要に応じ策定することとする(下表参照)

情報セキュリティポリシーの構成

文書名

内容

情報セキュリティポリシー

情報セキュリティポリシー

情報セキュリティ対策に関する統一的かつ基本的な方針

情報セキュリティ対策基準

情報セキュリティ基本方針を実行に移すためのすべての情報システムに共通の情報セキュリティ対策の基準

第1章 情報セキュリティ基本方針

1 目的

湧水町の各情報システムが取り扱う情報には,町民の個人情報のみならず行政運営上重要な情報など,部外に漏えい等した場合には,極めて重大な結果を招く情報が多数含まれている。

したがって,これらの情報及び情報を取り扱う情報システムをさまざまな脅威から防御することは,町民の財産,プライバシー等を守るためには,また,事務の安定的な運営のためにも必要不可欠である。

また,近年のいわゆるIT革命の進展により,電子商取引の発展や電子自治体の実現が期待されているところがある。湧水町がこれらに積極的に対応するためには,すべてのネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件である。

そのため,湧水町の情報資産の機密性,完全性及び可用性を維持するための対策(情報セキュリティ対策)を整備するために湧水町情報セキュリティポリシーを定めることとし,このうち,情報セキュリティ基本方針については,湧水町の情報セキュリティ対策の基本的な方針として,情報セキュリティの対象位置付けを定めるものとする。

(注):国際標準化機構(ISO)が定めるもの(ISO7498―2:1989)

機密性(confidentiality):情報にアクセスすることが認可された者だけがアクセスすることを確実にすること。

完全性(integrity):情報及び処理の方法の正確さ及び完全である状態を完全防護すること。

可用性(availability):許可された利用者が必要なときに情報にアクセスできることを確実にすること。

2 定義

(1) ネットワーク

湧水町における内部部局,各行政委員会を相互に接続するための通信網,その構成機器(ハードウェア及びソフトウェア)及び記録媒体で構成され,処理を行う仕組みをいう。

(2) 情報システム

業務系の電子計算機(業務系におけるネットワーク,ハードウェア及びソフトウェア及び記録媒体で構成され処理を行う仕組みをいう。)

(3) 情報資産

ネットワーク及び情報システムの開発と運用に係るすべてのデータ並びにネットワーク及び情報システムで取り扱うすべてのデータをいう。

(4) 情報セキュリティ

情報資産の機密の保持及び正確性,完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。

3 情報セキュリティポリシーの位置付けと職員等の義務

情報セキュリティポリシーは,湧水町が所掌する情報資産に関する情報セキュリティ対策について,総合的,体系的かつ具体的に取りまとめたものであり,情報セキュリティ対策の頂点に位置するものである。

したがって,湧水町長をはじめとして湧水町が所掌する情報資産に関する業務に携わるすべての職員等及び部外委託者は,情報セキュリティポリシーの重要性について共通の認識を持つとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。

4 情報セキュリティ管理体制

湧水町の情報資産について,幹部が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。

5 情報資産の分類

情報資産をその内容に応じて分類し,その重要度に応じた情報セキュリティ対策を行うものとする。

6 情報資産への脅威

情報セキュリティポリシーを策定する上で,情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると,特に認識すべき脅威は,以下のとおりである。

(1) 部外者による故意の不正アクセス又は不正操作によるデータやプログラムの持出し・盗聴・改ざん・消去,機器及び媒体の盗難等

(2) 職員等及び部外委託者による意図しない操作,故意の不正アクセス又は不正操作によるデータやプログラムの持出し・盗聴・改ざん・消去,機器及び媒体の盗難及び規定外の端末接続によるデータ漏えい等

(3) 地震,落雷,火災等の災害並びに事故,故障等によるサービス及び業務の停止

7 情報セキュリティ対策

上記6で示した脅威から情報資産を保護するために,以下の情報セキュリティ対策を講ずるものとする。

(1) 物理的セキュリティ対策

情報システムを設置する施設への不正な立入り,情報資産への損傷・妨害から保護するために物理的な対策を講ずる。

(2) 人的セキュリティ対策

情報セキュリティに関する権限や責任を定め,すべての職員等に情報セキュリティポリシーの内容を周知徹底する等,十分な教育及び啓発が講じられるように必要な対策を講ずる。

(3) 技術及び運用におけるセキュリティ対策

情報資産を外部からの不正なアクセス等から適切に保護するため,情報資産へのアクセス制限,ネットワーク管理等の技術面の対策,また,システム開発等の外部委託,ネットワークの監視,情報セキュリティポリシーの遵守状況の確認等の運用面の対策を講ずる。

また,緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。

8 情報セキュリティ対策基準の策定

湧水町の様々な情報資産について,上記7の情報セキュリティレベル対策を講ずるに当たっては,遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため,情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

9 情報セキュリティ監査の実施

情報セキュリティポリシーが遵守されていることを検証するため,定期的に監査を実施する。

10 評価及び見直しの実施

情報セキュリティ監査の結果等により,情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに,情報セキュリティを取り巻く状況の変化に対応するために,情報セキュリティの見直しを実施する。

第2章 湧水町行政全般における情報セキュリティ対策基準

湧水町行政全般における情報セキュリティ対策基準とは,情報セキュリティ基本方針を実行に移すための湧水町行政全般の情報資産に関する情報セキュリティ対策の基準である。

1 対象範囲

この情報セキュリティポリシーが対象とする公共機関の範囲は,内部部局及び各行政委員会とする。

なお,各教育機関における教育のために用いるシステム等は,この情報セキュリティポリシーの対象となるシステムと物理的に分けなければならない。

2 組織・体制

湧水町の情報セキュリティ管理については,以下の組織・体制とする。

(1) 最高情報統括責任者(CIO) …副町長

(2) ネットワーク管理者 …企画財政課長

(3) 情報セキュリティ・システム管理者 …各課(事務局)

(4) 情報システム担当者 …情報担当者

3 情報の分類と管理

(1) 情報の管理責任

ア 管理責任

情報は,当該情報を作成した各部局等が情報管理責任者として管理責任を有する。

イ 利用者の責任

情報を利用するものは,情報の分類に従い利用する責任を有する。

ウ 重要性の効力

情報が複製され,又は伝送された場合には,当該複製等も分類に基づき管理しなければならない。

(2) 情報の分類と管理方法

ア 情報の分類

対象となる情報システムの情報は,各々の情報の機密性,完全性及び可用性を踏まえ,次の重要性分類に従って分類する。

重要性分類

Ⅰ 個人情報並びに湧水町の幹部及び業務上必要とする最小限の者のみが扱う情報(極秘の情報を含む。)

Ⅱ 公開することを予定していない情報(秘の情報を含む。)

Ⅲ 外部に公開する情報のうち業務上重要な情報

Ⅳ 上記以外の情報

イ 情報の管理方法

(ア) 情報の分類の表示

・情報システムで扱う情報について,第三者が重要性の識別を容易に認識できないように留意しつつ,ファイル名,記録媒体等に情報の分類が分かるように表示する等適切な管理を行わなければならない。

(イ) 情報の管理及び取扱い

・情報について,それぞれの分類に従い,アクセス権限を定めなければならない。

・職員等は,情報の複製を保管場所へ移動する場合,最高情報統括責任者の許可を得た上で外部への持出し又は送付をしなければならない。

(ウ) 記録媒体の管理

・取り出しが可能な記録媒体は,適切な管理を行わなければならない。

・最終的に確定した情報を記録した記録媒体は,適切な措置を行った上で保管しなければならない。

・重要な情報(重要性分類Ⅱ以上)を記録した記録媒体は,耐火,耐熱,耐水及び耐湿対策を講じた施錠可能な場所に保管しなければならない。

・記録媒体を送る場合は信頼できる者を選定し,複製の禁止を指示しなければならない。

(エ) 記録媒体の処分

・記録媒体が不用となった場合は,当該媒体に含まれる重要な情報(重要性分類Ⅱ)は,記録媒体の初期化など情報を復元できないように消去を行った上で破棄しなければならない。

・重要な情報(重要性分類Ⅱ以上)を記録した記録媒体の廃業は,ネットワーク管理者及び情報セキュリティ・システム管理者の許可を得なければならない。

4 物理的セキュリティ

(1) サーバ等

ア 装置の取付け等

(ア) 情報システムの取付けを行う場合は,火災,水害,埃,振動,温度,湿度等の影響を可能な限り排除した場合に設置しなければならない。

(イ) 次のサーバは,メインサーバに障害が発生した場合には,速やかにセカンダリサーバに移行させ,システムの運用が停止しないようにしなければならない。

・重要情報を格納しているサーバ

・住民サービスに関するサーバ

・その他の基幹サーバ

(ウ) ネットワーク管理者,情報セキュリティ・システム管理者,情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が容易に操作できないように,利用者のID,パスワード設定等の措置を施さなければならない。パスワードは,可能な限り複雑なものにしなければならない。

イ 電源

サーバ等の機器の電源については,当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

ウ 配線

(ア) 配線は,傍受又は損傷等を受けることがないように可能な限り必要な措置を施さなければならない。

(イ) 主要な箇所の配線については,損傷等についての定期的な点検を行わなければならない。

(ウ) ネットワーク管理者,情報セキュリティ・システム管理者,情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更,追加できないように必要な措置を施さなければならない。

エ 外部に設置する装置

(ア) 外部に設置する装置は,最高情報統括責任者の了承を受けたものでなければならない。また,最高情報統括責任者は,定期的に当該装置の情報セキュリティの水準について確認しなければならない。

(イ) 湧水町外に持ち出される端末記録媒体については,適切に管理しなければならない。

(2) 管理区域

ア 管理区域

(ア) ネットワークの基幹機器及び重要な情報システムを設置し,当該機器等の管理並びに運用を行うための部屋(以下「電算室」という。)は,外部からの侵入が容易にできないような管理区域としなければならない。

(イ) 管理区域から外部に通ずるドアは必要最小限とし,鍵等によって許可されていない出入りを防止しなければならない。

(ウ) 電算室内の機器類は,耐震対策を講じた場所に設置するとともに,防火措置等を施さなければならない。なお,電算室内の機器類の配置は,緊急時に職員等が円滑に避難できるように配置しなければならない。

(エ) 管理区域内は,常に防火に努めなければならない。

イ 電算室の入退室管理

電算室の入退室は,許可された者のみとし,入退室管理簿の記載を行い,外部委託事業者は,身分証明書を携帯し,求めにより提示しなければならない。

ウ 機器等の搬入場所

(ア) 電算室へ機器等を搬入する場合は,あらかじめ当該機器等の既存情報システムに対する安全性について,職員による確認を行わなければならない。

(イ) 機器等の搬入には,職員が同行する等の必要な措置を施さなければならない。

(3) ネットワーク

(ア) 外部へのネットワーク接続は,必要最低限のものに限定し,できる限り接続ポイントを減らさなければならない。

(イ) 特に行政系のネットワークは,総合行政ネットワークに集約するために努めなければならない。

(ウ) ネットワークに使用する回線は,光ファイバ,無線及び専用線による常時接続専門サービスとする。なお,地理的条件で前述の伝送路が敷設できない場合,総合サービスデジタル通信網(ISDN)や非対称デジタル通信網(ADSL)による回線も使用できるものとする。

(4) 職員等の端末等

(ア) 庁舎内等に職員等がいない場合は,庁舎内の施錠等による盗難防止のための措置を施さなければならない。

5 人的セキュリティ

(1) 役割・責任

ア 最高情報統括責任者(CIO)

(ア) 湧水町副町長を,湧水町におけるすべてのネットワーク,情報システム及び情報資産を統括する最高責任者(CIO:最高情報統括責任者)とする。

(イ) 最高情報統括責任者は,湧水町におけるすべての情報資産の情報セキュリティを統括する。

イ ネットワーク管理者

(ア) 湧水町職員(一時的に湧水町における公務員身分を取得した者を除く。)のうち,情報通信ネットワーク技術に関する高度な専門知識と高い公務員倫理を有するものを,最高情報統括責任者直属のネットワーク管理者とする。

(イ) ネットワーク管理者は,湧水町のすべてのネットワークにおける開発,設定の変更,運用,更新等を行う権限及び責任を有する。

(ウ) ネットワーク管理者は,湧水町すべてのネットワークにおける情報セキュリティに関する権限及び責任を有する。

(エ) ネットワーク管理者は,情報セキュリティ・システム管理者及び情報システム担当者に対して情報セキュリティに関する指導及び助言を行う権限を有する。

(オ) ネットワーク管理者は,湧水町の情報資産に対する侵害又は侵害のおそれのある場合には,最高情報統括責任者の指示に従い,最高情報統括責任者が不在の場合には,自らの判断に基づき必要かつ十分なすべての措置を行う権限及び責任を有する。

(カ) ネットワーク管理者は,湧水町の全てのネットワーク,情報システム及び情報資産に関するセキュリティの維持,管理を行い,緊急時対応手順の策定及び見直しを行う。

ウ 情報セキュリティ・システム管理者

(ア) 内部部局の課長,各行政委員会事務局の課長を,情報セキュリティ・システム管理者とする。

情報セキュリティ・システム管理者は,所管組織の情報セキュリティに関する権限及び責任を有し,かつ,所管する情報システムにおける開発,設定の変更,運用,更新等を行う権限及び責任を有する。

(イ) 情報セキュリティ・システム管理者は,所管組織内における情報セキュリティポリシーの遵守に関する権限と責任を有し,担当する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

(ウ) 情報セキュリティ・システム管理者は,所掌に属する課室等における情報資産に対する侵害又は侵害のおそれのある場合には,ネットワーク管理者へ速やかに報告を行い,指示を仰がなければならない。

この場合,最高情報統括責任者にも報告しなければならない。

エ 情報システム担当者

情報システム担当者は,担当する情報システムに関して,情報セキュリティ・情報システム管理者の指示等に従い,開発,設定の変更,運用,更新等の作業を行う。

オ 職員

(ア) 情報セキュリティ対策の遵守義務

すべての職員は,情報セキュリティポリシー及び職員向け実施手順等に定められている事項を遵守しなければならない。

情報セキュリティ対策について不明な点,遵守することが困難な点等については,速やかに情報セキュリティ・システム管理者に相談し,指示等を仰がなければならない。

(イ) その他

・すべての職員は,使用する端末や記録媒体について,第三者に使用されること,又は許可なく情報を閲覧されることがないように,適切な措置を施さなければならない。

・すべての職員は,情報セキュリティ・システム管理者及びネットワーク管理者の許可を得ず,端末等を庁舎外に持ち出してはならない。

・すべての職員は,異動,退職等により業務を離れる場合には,知り得た情報を秘匿しなければならない。

カ 非常勤及び臨時職員

(ア) 情報セキュリティ対策の遵守義務

・すべての非常勤及び臨時職員は,情報セキュリティポリシー及び職員向け実施手順等に定められている事項を遵守しなければならない。

・情報セキュリティ対策について不明な点,遵守することが困難な点等については,速やかに情報セキュリティ・システム管理者に相談し,指示等を仰がなければならない。

(イ) 非常勤及び臨時職員の雇用及び契約

・非常勤及び臨時職員には,雇用及び契約の際,必要な場合は,情報セキュリティポリシーを遵守させなければならない。

・非常勤及び臨時職員に端末による作業を行わせる場合においては,インターネットへの接続及び庁内LANメールの使用が不要の場合には,これを利用できないように設定しなければならない。

(ウ) その他

・すべての非常勤及び臨時職員は,使用する端末や記録媒体について,第三者に使用されること又は許可なく情報を閲覧されることがないように,適切な措置を施さなければならない。

・すべての非常勤及び臨時職員は,情報セキュリティ・システム管理者及びネットワーク管理者の許可を得ず,端末等を庁舎外に持ち出してはならない。

・すべての非常勤及び臨時職員は,異動,退職等により業務を離れる場合には,知り得た情報を秘匿しなければならない。

キ 外部委託に関する管理

(ア) ネットワーク及び情報システムの開発・保守を外部委託事業者に発注する場合は,外部委託事業者から下請けとして受託する業者も含めて,情報セキュリティポリシーのうち外部委託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を行わなければならない。

外部委託事業者との契約書には,損害賠償等情報セキュリティポリシーが遵守されなかった場合の規定を定めなければならない。

(2) パスワードの管理

職員等は,自己の保有するパスワードに関し,次の事項を遵守しなければならない。

・パスワードを秘密にし,パスワードの照会等には一切応じないこと。

・パスワードのメモを作らないこと。

・パスワードの長さは,十分な長さとし,文字列は,想像しにくいものとすること。

・情報システム又はパスワードに対する危険のおそれがある場合には,ネットワーク管理者に申し出,パスワードを速やかに変更すること。

・複数の情報システムを扱う職員等は,パスワードをシステム間で共有しないこと。

・端末にパスワードを記憶させないこと。

・職員間でパスワードを共有しないこと。

(3) ICカード等の管理

ICカード等の認証に用いるカード類は,職員等間で共有してはならない。

ICカード等は,カードリーダ又は端末のスロット等に常時挿入してはならない。

職員等はICカード等を紛失した場合には,速やかにネットワーク管理者及び情報セキュリティ・システム管理者に通報し,指示を仰がなければならない。

ネットワーク管理者及び情報セキュリティ・システム管理者は,通報があり次第速やかに当該ICカード等を使用したアクセス等を停止しなければならない。

6 技術的セキュリティ

(1) コンピュータ及びネットワークの管理

ア アクセス記録の監視等

重要な情報を扱う情報システムについて,ネットワーク管理者は,定期的にアクセス記録等を分析,監視しなければならない。

イ システム管理記録及び作業の確認

(ア) ネットワーク管理者及び情報セキュリティ・システム管理者は,担当するシステムにおいて行ったシステム変更等の処理について記録を作成し,作業記録は適切に管理を行わなければならない。

(イ) ネットワーク管理者,情報セキュリティ・システム管理者又は情報システム担当者及び契約により操作を認められた外部委託事業者が担当するシステムにおいて作業を行う場合には,2人以上で作業し,互いにその作業を確認しなければならない。

ウ 障害記録

ネットワーク管理者及び情報セキュリティ・システム管理者は,職員等から報告のあった情報,システムの障害に対する処理又は問題等は障害記録として体系的に記録し,常に活用できるよう保存しなければならない。

エ 情報システム仕様書等の管理

ネットワーク管理者及び情報セキュリティ・システム管理者は,ネットワーク構成図,情報システム仕様書については,記録媒体にかかわらず業務上必要とする者のみが閲覧できる場所に保管しなければならない。また,構築に際して事業者に外部委託した場合,当該事業者に守秘義務を課さなければならない。

オ 情報及びソフトウエアの交換

組織間において,情報システムに関する情報及びソフトウエアを交換する場合は,その取り扱いに関する事項をあらかじめ定め,ネットワーク管理者及び情報セキュリティ・システム管理者の許可を得なければならない。

カ バックアップ

ネットワーク管理者及び情報セキュリティ・システム管理者は,ファイルサーバ等に記録された情報について,その重要度に応じて期間を設定し,定期的にバックアップ用の複製をとらなければならない。

キ メール

(ア) ネットワーク管理者は,外部から外部へのメール転送(メールの中継処理)を不可能とする等,情報システム全般に悪影響を与えないような設定を施さなければならない。

(イ) 職員等は,メールの自動転送機能を用いて,職場のメールを転送してはならない。

(ウ) 職員等は,メールで重要な情報(重要性分類Ⅱ以上)を送ってはならない。

(エ) メールの容量は,3MBを上限とし,3MBを超えるメールの送受信はしてはならない。ただし,総合行政ネットワークにおいてはこの限りではない。

(オ) 全職員等が使用できるメールボックスの容量は限られているため,処理が済んだメールは,職員等が自ら削除するか,記録媒体に移動し,適正な容量の確保に努めなければならない。

ク 外部の者が利用できるシステム

外部の者が利用できるシステムについては,必要に応じ他の情報システムと物理的に分ける等,情報セキュリティ対策について特に強固な対策をとらなければならない。

ケ 情報システムの入出力データ

(ア) 情報システムに入力されるデータは,適切なチェック等を行い,それが正確であることを確実にするための対策を施さなければならない。

(イ) エラー又は故意の行為により情報が改ざんされるおそれがある場合,これの対策を施さなければならない。

(ウ) 情報システムから出力されるデータは,保存された情報の処理が正しく反映され,出力されることを確保しなければならない。

コ 業務目的以外の使用の禁止

(ア) 職員等は,業務目的以外での情報システムへのアクセス及びメールの使用を行ってはならない。また,職員等は業務目的以外でウェブページを閲覧してはならない。職員等が業務目的以外でウェブページを閲覧した場合,ネットワーク管理者は,当該職員等が所属する課室等の情報セキュリティ・システム管理者に通知し,適切な措置を求めなければならない。

改善されない場合,ネットワーク管理者は,当該職員等のウェブページ閲覧に関する権利を停止あるいは剥奪することができる。

(イ) ネットワーク管理者は,職員等のウェブページ閲覧に関する権利を停止し,又は剥奪した場合は,最高情報統括責任者及び当該職員等が所属する課室等の情報セキュリティ・システム管理者にその旨通知しなければならない。

サ 無許可ソフトウエアの導入等の禁止

(ア) 職員等が業務上の必要から標準実装以外のアプリケーションソフトの端末へのインストールを行う場合は,業務ソフトインストール許可申請書(別記様式)により個別にネットワーク管理者の許可を得なければならない。ただし,ファイル交換ソフト(Winny,share等)のインストールは申請にかかわらず許可しないものとする。

シ 機器構成の変更

(ア) 職員等は,端末に対し設定の変更や改造及び機器の交換を行ってはならない。

(イ) 職員等は,端末に対し業務を遂行するために機器の増設・交換を行う必要がある場合は,ネットワーク管理者の許可を得なければならない。

(ウ) 職員等は,モデム等の機器を増設して他の環境へのネットワーク接続を行うことや,外部からのアクセスを可能とする仕組みを構築する場合は,ネットワーク管理者の許可を得なければならない。

ス 電子取引

電子取引に関しては,禁止する。

セ その他

職員等が利用するプロトコルは,業務上必要最低限のものとする。

(2) アクセス制御

ア 利用者登録

ネットワーク管理者は,利用者の登録,変更,抹消,情報の管理,異動や湧水町外への出向等の職員等及び退職者における利用者IDの取扱い等については,定められた方法に従って行わなければならない。

必要な利用者登録・変更は,ネットワーク管理者に対する申請により行う。

イ 管理者権限

ネットワーク,セキュリティの管理者権限は,1人の者に与え厳重に管理しなければならない。

ネットワーク管理者の権限を代行する者は,ネットワーク管理者が指名し,最高情報統括責任者が認めた者でなければならない。代行者を認めた場合,最高情報統括責任者は,速やかに情報セキュリティ・システム管理者に周知しなければならない。

ウ インターネット以外のネットワークにおけるアクセス制御

アクセス可能なネットワーク及びネットワークサービス等についてネットワークごとにアクセスできる者を定めなければならない。

ネットワーク管理者及び情報セキュリティ・システム管理者は,ネットワークサービスを使用する権限を有しない職員等が当該サービスを使用できるようにしてはならない。

エ 強制的な経路制御

ネットワーク管理者は,不正アクセスを防止するため,適切なネットワーク経路制御を施さなければならない。

オ 外部からのアクセス

(ア) 外部からのアクセスの許可は,必要最低限にしなければならない。

外部から湧水町すべてのネットワーク及び情報システムにアクセスする場合は,外部アクセスサーバに対してのみ接続を許可することとし,直接内部のネットワークに接続してはならない。ただし,外部委託業者でセキュリティ条件を満たし,なおかつ最高情報統括責任者が許可したものについては,この限りではない。

アクセス方法及び使用方法等は,利用者の真正性の確保が確定できるものでなければならない。

(イ) 湧水町におけるすべてのネットワーク及び情報システムへのモバイル端末等による外部からのアクセスは,禁止する。

カ 総合行政ネットワークとの接続

ネットワーク管理者は,「総合行政ネットワーク接続仕様書」に基づき適切な管理をしなければならない。

キ 外部ネットワークとの接続

(ア) 外部ネットワークとの接続に際しては,当該外部ネットワークのネットワーク構成,機器構成,セキュリティレベル等を詳細に検討し,湧水町のすべてのネットワーク,情報システム及び情報資産に影響が生じないと明確に確認した上で,最高情報統括責任者及びネットワーク管理者の許可に基づき接続しなければならない。

その利用は,ネットワーク管理者の適切な管理下で行い,情報セキュリティに留意したネットワーク構成をとらなければならない。

この場合,当該外部ネットワークの瑕疵により湧水町のデータの漏えい,破壊,改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため,当該外部ネットワーク管理責任者による損害賠償責任を契約上担保しなければならない。

(イ) 接続した外部ネットワークのセキュリティに問題が認められ,湧水町の情報資産に脅威が生じることが想定される場合には,ネットワーク管理者の判断に従い,速やかに当該外部ネットワークを物理的に遮断しなければならない。

ク パスワードの管理方法

(ア) ネットワーク管理者又は情報セキュリティ・システム管理者及び職員は,職員等のパスワードに関する情報を厳重に管理しなければならない。

(イ) ネットワーク管理者及び情報セキュリティ・システム管理者は,職員等のパスワードについて,定期的にその妥協性について調査を行わなければならない。

(ウ) ネットワーク管理者及び情報セキュリティ・システム管理者は第三者に読まれることのないよう,暗号化等パスワードを扱う方法を定めなければならない。

ケ 接続時間の制限

管理者権限によるネットワーク及び情報システムへの接続については,必要最小限の接続時間に制限しなければならない。

(3) システム開発,導入,保守等

ア 情報システムの調達

(ア) 最高情報統括責任者は,応用ソフトウエアの開発,変更及び運用についての手順及び基準を明らかにしなければならない。

(イ) 最高情報統括責任者は,機器及び基本ソフトウエアの導入,保守及び撤去についての手順及び基準を明らかにしなければならない。

(ウ) ネットワーク管理者及び情報セキュリティ・システム管理者は,情報システムの調達に当たっては,一般に公開する調達仕様書が情報セキュリティ確保の上で問題のないようにしなければならない。

(エ) ネットワーク管理者及び情報セキュリティ・システム管理者は,機器及びソフトウエアを購入等する場合は,当該製品が情報セキュリティ上問題にならないかどうか,確認しなければならない。

イ 情報システムの変更管理

情報セキュリティ・システム管理者は,システムを追加,変更,破棄等した場合は,その際の設定,構成等の履歴を記録し,保存しなければならない。

ウ 情報システムの開発

最高情報統括責任者は,情報セキュリティ・システム管理者に指示し,システム開発及び保守時の事故・不正行為対策のため,次の事項を定めなければならない。

・責任者及び監督者

・作業者及び作業範囲

・システム開発及び保守等の事故・不正行為に係るリスク分析

・開発・保守するシステムと運用システムの分離

・開発・保守の際のセキュリティ上問題となりうるおそれのあるOS,ミドルウエア及びアプリケーションソフトの使用禁止

・開発・保守の際のアクセス制限

・機器の搬出入の際の,情報セキュリティ・システム管理者の許可及び確認

・開発・保守記録の提出義務

・マニュアル等の定められた場所への保管

・開発・保守を行った者の利用者ID,パスワード等の当該開発・保守終了後に不要となった時点での速やかな抹消

エ システムの導入

(ア)情報セキュリティ・システム管理者は,新たにシステムを導入する際には,既に稼動しているシステムに接続する前に十分な試験を行わなければならない。

(イ) 情報セキュリティ・システム管理者は,試験に使用したデータ及びその結果を最高情報統括責任者及びネットワーク管理者へ提出するとともに厳重に保管しなければならない。

オ ソフトウエアの保守及び更新

ソフトウエア(独自開発ソフトウエア及び汎用ソフトウエア)等を更新し,又は修正プログラムを導入する場合は,不具合及び他のシステムとの相性の確認を行い,計画的に更新し,又は導入しなければならない。

情報セキュリティ・システム管理者は,情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて,速やかな対応を行うこととし,その他のソフトウエアの更新等については,計画的に実施しなければならない。

カ システムの受諾業者への規定

(ア) 新たなシステムの開発を外部の事業者に委託する場合は,契約担当課において経営状況等,契約履行が可能であるか確認をとり,導入前の検査要求事項等を契約に定めなければならない。

(イ) 情報セキュリティ・システム管理者は,作業中に身分証明書の提示を業者に求め,契約で定められた資格を有するものが作業に従事しているか確認を行わなければならない。

キ 機器の修理及び廃棄

(ア) 記憶媒体の含まれる機器について,外部の業者に廃棄する場合は,その内容が消去された状況で行わなければならない。

(イ) 故障を外部の業者に修理させる際,修理を委託する業者に対し秘密を守ることを契約に定めなければならない。また,重要な機器については,復元不可能な破棄を行わなければならない。

(4) コンピュータウイルス対策

ア 外部ネットワークとの送受信するファイルは,FWレベル及びウイルスソフトでウイルスチェックを行い,システムへの侵入,拡散を阻止しなければならない。

イ ネットワーク管理者は,次の事項を実施しなければならない。

・ウイルス情報について職員等に対する注意喚起を行うこと。

・常時ウイルスに関する情報収集に努めること。

・サーバ及び端末において,ウイルスチェックを行うこと。

・ウイルスチェック用のパターンファイルは,常に最新のものに保つこと。

ウ 情報セキュリティ・システム管理者は,次の事項を実施しなければならない。

・サーバ及び端末において,ウイルスチェックを行うこと。

・ウイルスチェック用のパターンファイルは,常に最新のものに保つこと。

エ 職員等は,次の事項を遵守しなければならない。

・外部からデータ又はソフトウエアを取り入れる場合には,必ずウイルスチェックを行うこと。

・差出人が不明又は不自然に添付されたファイルは,速やかに削除すること。

・ネットワーク管理者が提供するウイルス情報を常に確認すること。

・添付ファイルのあるメールを送受信する場合は,ウイルスチェックを行うこと。

(5) 不正アクセス対策

ア ネットワーク管理者は,次の事項を実施しなければならない。

・使用終了若しくは使用される予定のないポートを長時間空けた状態のままにしてはならない。

・セキュリティホールの発見に努め,メーカー等からパッチの提供があり次第速やかにパッチを当てなければならない。

・不正アクセスによるウェブページ書換防止を確実にするために,担当職員等によるものであるか否かにかかわりなくデータの書換を検出し,ネットワーク管理者及び情報セキュリティ・システム管理者へ通報する設定を施さなければならない。

・重要なシステムの設定に係るファイル等について,定期的に当該ファイルの改ざんの有無を検査すること。

イ 攻撃を受けることが明確な場合には,ネットワーク管理者はシステムの停止を含む必要な措置を講じなければならない。

ウ 攻撃を受け,当該攻撃が不正アクセス禁止法違反等犯罪の可能性がある場合には,記録の保存に努めるとともに,警察・関係機関との緊密な連携に努めなければならない。

エ 攻撃の可能性が明確であるにもかかわらず職員等の怠惰が原因でデータの漏えい,破壊,改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合,当該職員は懲戒の対象とする。

オ 職員等による不正アクセスがあった場合,ネットワーク管理者又は情報セキュリティ・システム管理者は,情報システム担当者に通知し,適切な処置を求めなければならない。

職員等による不正アクセスの結果,データの漏えい,破壊,改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合,当該職員等を懲戒の対象とし,悪質な場合には,刑事告発の対象とする。

(6) セキュリティ情報の収集

(ア) ネットワーク管理者は,情報セキュリティに関する情報を収集し,湧水町すべてのネットワーク及び情報システムについてソフトウエアにパッチを当てる等,セキュリティ対策上必要な措置を講じなければならない。

(イ) 最高情報統括責任者は,これらの情報を定期的に取りまとめ,関係部局等に通知しなければならない。

(ウ) ネットワーク管理者は,緊急時対応手順に定める緊急に連絡すべき情報を入手した場合は,当該手順に定める情報連絡先に連絡しなければならない。

7 運用

(1) 情報システムの監視

(ア) セキュリティに関する事案を検知するため,ネットワーク管理者及び情報セキュリティ・システム管理者は,常に情報システムの監視を行わなければならない。

(イ) 外部と常時接続するシステムについては,ネットワーク侵入監視を行わなければならない。

(ウ) 内部のシステムについて,定期的な検査を行い,異常な運用等の監視を行わなければならない。

(エ) 監視により得られた結果については,消去や改ざんされないために必要な措置を施し,定期的に安全な場所に保管しなければならない。また,これらの記録の正確性を確保するため,正確な時刻の設定を行わなければならない。

(2) 情報セキュリティポリシーの遵守状況の確認

・情報セキュリティ・システム管理者は,情報セキュリティポリシーが遵守されているかどうかについて,また,問題が発生していないかについて常に確認を行い問題が発生していた場合には,速やかに最高情報統括責任者及びネットワーク管理者に報告しなければならない。

・最高情報統括責任者は,速やかに発生した問題に適切に対処しなければならない。

・職員等は,情報セキュリティポリシーの違反が発生した場合は,直ちにネットワーク管理者及び情報セキュリティ・システム管理者に報告を行わなければならない。違反の発生時には,それが直ちに,情報セキュリティ上重大な影響を及ぼす可能性があるとネットワーク管理者が判断した場合は,緊急時対応手順に従って連絡を行わなければならない。

・ネットワーク管理者及び情報セキュリティ・システム管理者は,サーバ等のシステム設定が情報セキュリティポリシーを遵守しているかどうかについて,また,問題が発生していないかについて定期的に確認を行い,問題が発生していた場合には,速やかに適切に対処しなければならない。

(3) 運用管理における留意点

・最高情報統括責任者は,アクセス記録,メール等個人のプライバシーに係る情報を閲覧できる権限を有する職員等を情報セキュリティ実施手順に定めなければならない。ただし,法令で定められた個人情報の保護に関係する情報の閲覧に関しては,当該法令に定められた手続に従う。

・情報セキュリティ・システム管理者は,職員等が常に情報セキュリティポリシー及び実施手順等を参照できるよう配慮しなければならない。

(4) 侵害時の対応

情報資産への侵害が発生した場合における連絡,証拠保全,被害拡大の防止,復旧等の必要な措置を迅速かつ円滑に実施し,再発防止の措置を講じるために,緊急時対応手順を次のとおり定める。

ア 連絡先

・湧水町長

・最高情報統括責任者

・ネットワーク管理者

・情報システムに係る外部委託事業者

・鹿児島県

・警察

・関係機関

・影響が考えられる個人及び法人

イ 事案の調査

セキュリティに関する事案を認めた者は,次の項目について,速やかにネットワーク管理者に報告しなければならない。

・事案の内容

・事案が発生した原因として,想定される行為

・確認した被害・影響範囲

ネットワーク管理者は,事案の詳細な調査を行うとともに,最高情報統括責任者への報告を行わなければならない。

ウ 事案への対処

ネットワーク管理者は,事案に対処するために次の項目を実施しなければならない。

(ア) ネットワーク管理者は,次の事案が発生した場合,それぞれ定められた連絡先へ連絡しなければならない。

・サイバーテロその他の住民に重大な被害が生じるおそれがあるとき(湧水町長,最高情報統括責任者,警察,影響が考えられる個人及び法人)

・不正アクセスその他犯罪と思慮されるとき(湧水町長,最高情報統括責任者及び警察)

・踏み台となって他者に被害を与えるおそれがあるとき(湧水町長,最高情報統括責任者及び警察)

・情報システムに関する被害(情報セキュリティ・システム管理者,必要と認められる事業等)

・その他情報資産に係る被害(関係部局等)

(イ) ネットワーク管理者は,次の事案が発生し情報資産の保護のためにネットワークの切断がやむを得ない場合は,ネットワークを切断する措置を講ずる。

・異常なアクセスが継続しているとき,又は不正アクセスが判明したとき。

・コンピュータウイルス等不正プログラムがネットワーク経由で広がっているとき。

・情報資産に係る重大な被害が想定されるとき。

(ウ) 情報セキュリティ・システム管理者は,次の事案が発生し情報資産の防護のために情報システムの停止がやむを得ない場合は,情報システムを停止する。

・コンピュータウイルス等不正プログラムが情報資産に深刻な被害を及ぼしている場合

・災害等により電源を供給することが危険又は困難なとき。

・その他の情報資産に係る重大な被害が想定されるとき。

(エ) 個々の端末のネットワークからの切断については,ネットワーク管理者の許可が必要である。ただし,情報資産の被害の拡大を直ちに停止させる必要がある場合には,事後報告とすることができる。

(オ) 事案に係るシステムのアクセス記録及び現状を保存する。

(カ) 事案に対処した経過を記録する。

(キ) 事案に係る証拠保全の実施を完了するとともに,再発防止の暫定措置を検討する。

(ク) 再発防止の暫定措置を講じた後,復旧する。

エ 再発防止の措置

ネットワーク管理者は,当該事案に係るリスク分析を実施し,情報セキュリティポリシー及び実施手順の修正を行い,最高情報統括責任者へ報告しなければならない。最高情報統括責任者は,これらの再発防止計画が有効であると認められる場合は,これを承認する。

オ 外部委託による運用契約

運用を外部委託する場合は,委託に関する責任を有する部署を明確にするとともに,委託事業者に対し必要なセキュリティ要件を記載した契約書による契約を締結しなければならない。

委託に関する責任を有する部署は,委託先において必要なセキュリティ対策が確保されていることを確認し,その内容をネットワーク管理者に報告するとともに,その重要度に応じて最高情報統括責任者に報告しなければならない。

8 法令遵守

職員等は,職務の遂行において使用する情報資産について,次の法令等を遵守し,これに従わなければならない。

(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2) 著作権法(昭和45年法律第48号)

(3) 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)

9 情報セキュリティに関する違反に対する対応

情報セキュリティポリシーに違反した者については,その重大性,発生した事案の状況等に応じて懲戒処分等の対象とする。

10 評価・見直し

(1) 監査

(ア) ネットワーク管理者及び情報セキュリティ・システム管理者は,ネットワーク及び情報システムの情報セキュリティについて監査を定期的に行わなければならない。

(イ) 外部委託事業者に委託している場合,ネットワーク管理者及び情報セキュリティ・システム管理者は,外部委託事業者から下請けとして受託している業者も含めて,情報セキュリティポリシーの遵守について監査を定期的に行わなければならない。

(ウ) 最高情報統括責任者は監査結果をとりまとめ,情報セキュリティポリシーの更新の際に参照する情報として活用しなければならない。

(2) 点検

情報セキュリティ・システム管理者は,情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうかについて職員等にアンケート等を行い,また,事故点検を行い,これをとりまとめ最高情報統括責任者に報告する。最高情報統括責任者は,この報告結果を情報セキュリティポリシー更新の際に参照する情報として活用することとする。

(3) 情報セキュリティポリシーの更新

新たに必要な対策が発生した場合又は監査の結果及び点検の結果を踏まえ,最高情報統括責任者は,情報セキュリティポリシーの実効性を評価し,必要な部分を見直し,内容及び時期について決定を行う。この決定に基づき,情報セキュリティポリシーの更新を実施する。

11 その他

情報セキュリティポリシーに関し,特段の定めのない事項は,町長が最高情報統括責任者等と協議の上,別途定める。

附 則

(施行期日)

この訓令は,平成19年4月1日から施行する。

附 則(平成31年4月1日訓令第2号)

この訓令は,平成31年4月1日から施行する。

情報セキュリティポリシー緊急時対応手順

情報資産への侵害が発生した場合における連絡,証拠保全,被害拡大の防止,復旧等の必要な措置を迅速かつ円滑に実施し,再発防止の措置を講じるために,緊急時対応手順を次のとおり定める。

① 連絡先

職責

担当部署

町長

 

最高情報統括責任者

副町長

ネットワーク管理者

企画財政課長

情報システムに係る外部委託事業者

(株)南日本情報処理センター

鹿児島県

情報政策課電子県庁推進係

警察

横川警察署生活安全刑事課

関係機関

鹿児島県町村会開発室

影響が考えられる個人及び法人

 

② 事案の調査

セキュリティに関する事案を認めた者は,次の項目について,速やかにネットワーク管理者等に報告しなければならない。

事案報告書

 

調査日

町長

最高情報統括責任者

ネットワーク管理者

情報セキュリティシステム管理者

情報システム担当者

調査者

年 月 日

 

 

 

 

 

 

事案内容

 

原因

 

被害状況

 

影響範囲

 

③ 事案への対処

◎ネットワーク管理者実施事項

事象

連絡担当部署

サイバーテロその他の住民に重大な被害が生じる恐れがあるとき

湧水町長

最高情報統括責任者

横川警察署生活安全刑事課

影響が考えられる個人及び法人

不正アクセスその他犯罪と思慮されるとき

湧水町長

最高情報統括責任者

横川警察署生活安全刑事課

 

踏み台となって他者に被害を与える恐れがあるとき

湧水町長

最高情報統括責任者

横川警察署生活安全刑事課

 

情報システムに関する被害

情報セキュリティ・システム管理者

必要と認められる事業等

 

 

その他情報資産にかかる被害

関係部局等

 

 

 

ネットワーク切断措置対象事例

作業チェック

異常なアクセスが継続しているとき,又は不正アクセスが判明したとき。

 

コンピュータウイルス等不正プログラムがネットワーク経由で広がっているとき。

 

情報資産に係る重大な被害が想定されるとき。

 

◎情報セキュリティ・システム管理者実施事項

1次作業・情報システム停止対象事例

作業チェック

コンピュータウイルス等不正プログラムが情報資産に深刻な被害を及ぼしている場合

 

災害等により電源を供給することが危険又は困難なとき。

 

その他の情報資産に係る重大な被害が想定されるとき(ネットワーク管理者へは事後報告)

 

2次作業・処理項目

 

事案に係るシステムのアクセス記録及び現状を保存する。

 

事案に対処した経過を記録する。

 

事案に係る証拠保全の実施を完了するとともに,再発防止の暫定措置を検討する。

 

再発防止の暫定措置を講じた後,復旧する。

 

④ 再発防止の措置

◎ネットワーク管理者,情報セキュリティ・システム管理者実施事項

処理項目

作業チェック

当該事案に係るリスク分析

 

情報セキュリティポリシー及び実施手順の修正(最高情報統括責任者へ報告)

 

(平31訓令2・一部改正)

画像

湧水町情報セキュリティポリシー

平成19年3月1日 訓令第1号

(平成31年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成19年3月1日 訓令第1号
平成31年4月1日 訓令第2号