情報セキュリティポリシー

公開日 2012年11月21日

最終更新日 2012年11月21日

 小諸市では、市が保有する情報資産(情報システムや情報システムで扱う行政情報)に関する情報セキュリティ対策を推進し、情報セキュリティの確保を図るため、「情報セキュリティポリシー」を策定しました。

 「情報セキュリティポリシー」は、市が保有する情報資産に関する情報セキュリティ対策について、総合的、体系的、具体的に取りまとめた文書で、情報セキュリティ対策に関する統一的かつ基本的な方針である「情報セキュリティ基本方針」と、この基本方針を実行に移すための全ての情報資産に共通の情報セキュリティ対策の基準である「情報セキュリティ対策基準」から構成されています。


情報セキュリティ基本方針

1 目的
 小諸市の各情報システムが扱う情報には、市民の個人情報をはじめ行政運営上重要な情報など、外部への漏えい等が発生した場合には極めて重大な結果を招く情報が多く含まれており、小諸市が保有する情報資産を様々な脅威から保護し、情報セキュリティを確保することは、市民の財産、プライバシー等を守るためにも、また、市民の信頼に基づく安定的な行政運営を確保するためにも不可欠である。
 このため、小諸市が保有する情報資産に関する情報セキュリティ対策を推進し、情報セキュリティを確保するため、小諸市情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)を定める。

2 対象範囲
 情報セキュリティポリシーが対象とする機関の範囲は、市長部局、会計課、上下水道部管理課及び上水道課、教育委員会事務局、議会事務局、農業委員会事務局、選挙管理委員会事務局、監査委員事務局並びに公平委員会事務局とする。

3 用語の定義
(1)電子計算機
    ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器並びに記録媒体をいう。
(2)ネットワーク
    電子計算機を相互に接続する通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。
(3)情報システム
    電子計算機及びネットワークで構成する、特定の業務を処理するための仕組みをいう。
(4)行政情報
    行政事務の執行上作成し、又は取得した情報をいう。
(5)情報資産
    情報システム及び情報システムで扱う行政情報(紙等の有体物に出力された情報を含む。)をいう。
(6)機密性
    権限を有する者だけが情報資産を利用することができることを確実にすることをいう。
(7)完全性
    情報資産及びその取り扱い方法が正確かつ完全である状態を保持することをいう。
(8)可用性
    権限を有する者が必要なときに情報資産を利用することができることを確実にすることをいう。
(9)情報セキュリティ
    情報資産の機密性、完全性及び可用性を確保し、維持することをいう。
(10)職員
    地方公務員法(昭和25年法律第261号)第3条に定める小諸市の地方公務員をいう。


4 情報セキュリティポリシーの位置付け並びに職員及び外部委託事業者の義務
 情報セキュリティポリシーは、小諸市が保有する情報資産に関するセキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の最高位に位置するものである。
 このため、小諸市が保有する情報資産に関する業務に携わる全ての職員及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行にあたり情報セキュリティポリシーを遵守する義務を負う。

5 情報セキュリティ管理体制
 小諸市が保有する情報資産に関する情報セキュリティ対策を推進し、管理するため、必要な体制を整備する。

6 情報資産の分類
 情報資産は、その機密性、完全性及び可用性を踏まえて分類し、重要度に応じた情報セキュリティ対策を講ずる。

7 情報資産への脅威
 情報セキュリティ対策を講ずるにあたり、特に認識すべき脅威は、以下のとおりである。
(1)部外者による脅威
    ア 侵入による情報資産の損傷、破壊、盗難等
    イ 不正アクセス又は不正操作による情報資産の破壊、盗聴、改ざん、消去等
(2)職員又は外部委託事業者による脅威
    ア 情報資産の持ち出し、誤操作、アクセスのための認証情報の不適切管理等
    イ 不正アクセス又は不正操作による情報資産の破壊、盗聴、改ざん、消去等
    ウ 搬送中の事故等による情報資産の損傷、破壊、盗難等
    エ 規定外の端末接続による情報資産の漏えい等
(3)その他の脅威
    ア コンピュータウイルスによる情報資産の破壊、漏えい、改ざん、消去等
    イ 地震、落雷、火災等の災害による情報資産の損傷、破壊等
    ウ 情報システムの故障等

8 情報セキュリティ対策
 情報資産を上記7の脅威から保護するため、以下の情報セキュリティ対策を講ずる。
(1)物理的セキュリティ対策
    情報資産を有する施設への不正な立ち入り、情報資産の損傷、破壊、盗難等の事故
   及び災害等から情報資産を保護するために必要な物理的対策を講ずる。
 
(2)人的セキュリティ対策
    情報セキュリティに関し遵守すべき事項を定め、職員及び外部委託事業者に周知及
   び徹底を図るとともに、十分な教育及び訓練を行う等の人的対策を講ずる。

(3)技術的セキュリティ対策
    情報資産を不正アクセス、コンピュータウイルス等から適切に保護するため、情報
   資産へのアクセス制御、ネットワーク管理、コンピュータウイルス対策等の技術的対
   策を講ずる。
    
(4)運用面のセキュリティ対策
    情報システムの監視、情報セキュリティポリシー等の遵守状況の確認等の運用面の
   対策を講ずる。また、緊急事態が発生した場合に、迅速かつ適切な対応が可能となる
   よう危機管理対策を講ずる。
    
9 情報セキュリティ対策基準の策定
 情報セキュリティ基本方針に基づき、全ての情報資産に共通の情報セキュリティ対策の基準として、情報セキュリティ対策基準を定める。

10 情報セキュリティ実施手順の策定
 情報セキュリティポリシーに基づき、情報資産ごとの情報セキュリティ対策の具体的な実施手順として、情報セキュリティ実施手順を定める。

11 情報セキュリティ対策基準及び情報セキュリティ実施手順の扱い
 情報セキュリティ対策基準及び情報セキュリティ実施手順は、公開することにより小諸市の行政運営に重大な支障を及ぼす恐れのある情報を含むことから、非公開とする。

12 情報セキュリティ監査の実施
 情報セキュリティが確保されていることを検証するため、定期的に監査を実施する。

13 評価及び見直しの実施
 情報セキュリティ監査の結果等に基づき、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の有効性等について評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するため、必要に応じて情報セキュリティポリシー及び情報セキュリティ実施手順の見直しを実施する。


※「情報セキュリティ対策基準」は、非公開です。

お問い合わせ

総務部 企画課
TEL:0267-22-1700
FAX:0267-23-8766
備考:メール送信時はE-Mailアドレスの@(アットマーク)を半角@に変更してから送信ください。また、匿名のメールにはお答えできませんので、ご了承ください。