本文
筑紫野市情報セキュリティ対策基準
趣旨
第1条 この基準は、筑紫野市情報セキュリティ基本方針に基づき、情報セキュリティ対策を講ずるにあたり遵守すべき行為及び判断等の基準を統一的に定めるため、必要となる基本的な要件を定めるものとする。
組織
第2条 情報セキュリティ管理上の役割と権限を明確にするため、情報セキュリティ管理体制を次のとおり構成する。
- セキュリティ統括管理責任者(副市長)
- セキュリティ管理責任者(部長・各情報システム管理者)
- セキュリティ管理担当者(各情報システムの管理を担当する職員)
- 課等セキュリティ管理者(課等の長)
- IT推進員
- エンドユーザ
2 セキュリティ統括管理責任者は、本市情報のセキュリティ管理に関する最高意思決定者で統括的な権限と責任を有し、次の事務を所掌する。
- 情報セキュリティ管理委員会が策定する情報セキュリティポリシー(情報セキュリティ基本方針及び情報セキュリティ対策基準をいう。以下「ポリシー」という。)の承認
- 個別の情報システムに依存した情報セキュリティ運用基準(以下「運用基準」という。)の承認
- 情報セキュリティ監査委員会の報告を受け、情報セキュリティ管理委員会にポリシー及びルールの見直しの指示
- セキュリティ管理責任者に対してポリシー及びルールの遵守の徹底と、エンドユーザに対するセキュリティ研修の実施の指示
3 セキュリティ管理責任者は、本市情報のセキュリティ対策の実務を統括し、ポリシーの遵守、ポリシーに沿ったセキュリティ対策を実践する責任を有し、次の事務を所掌する。
- セキュリティ統括管理責任者の指示を受け、セキュリティ対策の実施
- セキュリティ統括管理責任者の指示を受け、セキュリティ研修の実施
- セキュリティ管理担当者からの報告を取りまとめ、セキュリティ統括管理責任者に報告
- 個別の情報システムに依存した運用基準等の策定
4 セキュリティ管理担当者は、本市情報のセキュリティ対策の実務を担当し、具体的な技術面及び運用面のセキュリティ対策の実務について、次の事務を所掌する。
- セキュリティ環境の設定及び見直し
- ユーザ管理
- セキュリティ研修の実施
5 課等セキュリティ管理者は、自らが管理する課等におけるセキュリティ対策の実務を統括し、セキュリティ管理担当者及びIT推進員と連携して適切なセキュリティ対策の実施について責任を有し、次の事務を所掌する。
- 課等ユーザの管理及び研修
- 課等におけるセキュリティ作業
6 IT推進員は、課等セキュリティ管理者の指示のもと、所属する課等におけるセキュリティ対策の実務を適切に実施するとともにエンドユーザに対し助言を行う。
7 エンドユーザは、ポリシーを遵守し、セキュリティ意識の高揚を図る義務を負う。
情報セキュリティ管理委員会
第3条 セキュリティ統括管理責任者をサポートし、情報資産の適正かつ円滑な管理・運営を実現するため、情報セキュリティ管理委員会(以下「管理委員会」という。)を組織する。
2 管理委員会は、次の事項を所掌する。
- ポリシーの策定及び見直し
- セキュリティ研修実施計画の策定
- その他標準仕様に定める事項
3 管理委員会委員は8名以内とし、セキュリティ統括管理責任者がセキュリティ管理責任者の中から指名するものとする。
4 管理委員会の会議及び会議結果の公開については、第2項第1号(標準仕様の策定及び見直しに関するものを除く)及び第2号に関するものは公開とし、標準仕様の策定及び見直しに関するもの及び同項第3号に関するものは非公開とする。
5 管理委員会の庶務については、企画政策部戦略企画課にて行うものとする。
情報セキュリティ監査委員会
第4条 情報セキュリティ管理・運営を検証するため、情報セキュリティ監査委員会(以下「監査委員会」という。)を組織する。
2 監査委員会は、次の事項を所掌する。
- ポリシー更新の評価
- 情報セキュリティの管理・運営状況の監査
3 監査委員会委員は4名以内とし、セキュリティ統括管理責任者が指名する。
4 委員会の会議及び会議結果の公開については、第2項第1号(標準仕様更新の評価に関することを除く)に関するものは公開とし、標準仕様更新の評価に関すること及び同項第2号に関するものは非公開とする。
5 監査委員会の庶務については、企画政策部戦略企画課で行うものとする。
情報資産の分類と管理
第5条 対象となるネットワーク及び情報システムの情報資産の分類は、それぞれの情報
資産の機密性、完全性及び可用性を考慮し、次の重要性分類による。
重要性ランク | 分類内容 |
---|---|
1 | 個人情報及びセキュリティ侵害が本市の住民の生命、財産等へ重大な影響を及ぼす情報 |
2 | 公開することを予定していない情報及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼす情報 |
3 | 外部に公開する情報のうち、セキュリティ侵害が行政事務の執行等に軽微な影響を及ぼす情報 |
4 | 上記以外の情報 |
2 情報資産の管理は、情報資産の分類の表示、情報資産の管理、記録媒体の管理及び情報資産の変更又は廃棄の管理等について、そのシステムの実情に応じ、物理的・人的・技術的・運用的及び危機管理に関する各標準仕様を参考に行うこととし、その管理責任はセキュリティ管理責任者が負う。
物理的セキュリティ対策
第6条 情報資産の維持管理、保安管理及び障害対策を図るため、次の標準仕様により物理的セキュリティ対策を講じる。
- サーバルーム等に関する標準仕様
- 職場環境におけるセキュリティ標準仕様
- 職場設備対策標準仕様
人的セキュリティ対策
第7条 職員等に情報資産に係る脅威と脆弱性の認識、各自の責任と義務の理解を図り、併せてセキュリティリスクを最小限に抑えるため、次の標準仕様により人的セキュリティ対策を講じる。
- アカウント管理標準仕様
- ユーザ認証に関する標準仕様
- アウトソーシングに関する標準仕様
- プライバシーに関する標準仕様
- セキュリティ研修に関する標準仕様
技術的セキュリティ対策
第8条 ネットワーク、インターネット等運用の機器類に係る脅威と脆弱性に対応するため、次の標準仕様により技術的セキュリティ対策を講じる。
- ソフトウェア・ハードウェアの購入及び導入標準仕様
- LANにおけるPC設置・変更・撤去の標準仕様
- 外部公開サーバに関する標準仕様
- ネットワーク構築標準仕様
- サーバ等のセキュリティ標準仕様
- PC等のセキュリティ対策標準仕様
- システム維持に関する標準仕様
- セキュリティ情報収集及び配信標準仕様
- ウィルス対策標準仕様
- プロシージャ配布の標準仕様
- 専用線及びVPNに関する標準仕様
運用的セキュリティ対策
第9条 ネットワーク、インターネット及びメール等の利用者に係る脅威と脆弱性に対応するため、次の標準仕様により運用面におけるセキュリティ対策を講じる。
- システム監視に関する標準仕様
- 電子メールサービス利用標準仕様
- 全庁ネットワーク利用標準仕様
- Webサービス利用標準仕様
- リモートアクセスサービス利用標準仕様
- 媒体の取り扱いに関する標準仕様
- スタンダード改正に関する標準仕様
- 監査標準仕様
危機管理対策
第10条 現実に緊急事態が発生した場合、行政運営の存続に与える影響及び損失を最小限に留めるための管理手法として、次の標準仕様により危機管理対策を講じる。
- セキュリティインシデント報告・対応標準仕様
法令遵守
第11条 職員等は、職務の遂行において使用する情報資産について、この対策基準に定めるもののほか、関係法令等を遵守しなければならない。
職員の倫理基準
第12条 全ての職員は、情報資産の安全確保のため次のことを常に実践しなければならない。
- ポリシーをよく理解し、これに則した行動をすること。
- 関係する運用基準をよく理解し、これを遵守すること。
- セキュリティ研修に積極的に参加し、セキュリティについての基本知識、最新の状況についての知識を習得すること。
評価、見直し
第13条 情報セキュリティを取り巻く状況の変化に対応するため、この基準に定める事項を評価し、その見直しを適宜行う。
補則
第14条 この基準の実施に関し必要な事項は、運用基準で定める。
附則
この基準は、平成15年12月1日から実施する。