情報セキュリティ基本方針
序文
浜田地区広域行政組合(以下「本組合」という。)が取り扱う情報資産には、地域住民の個人情報をはじめ、極めて重要な情報が多数含まれている。標的型攻撃やサービス不能攻撃などから、これらの漏えい、消失、改ざん等のあらゆる脅威から守ることは、住民の財産、プライバシーの保護において必要不可欠である。
また、近年IT技術の進展に伴い、電子政府、電子自治体が実現されているが、本組合においてもこれに積極的に対応していくためには、情報システムのセキュリティ確保が絶対条件となる。これらの状況を鑑み、本組合における情報資産に対する安全対策を推進し、住民からの信頼を確保し、さらに地域に貢献するため、以下に積極的に取り組むことを宣言する。
- 情報セキュリティ推進のための全庁的な組織体制を確立する。
- 情報セキュリティ対策基準及びその適切な実行のための実施手順を定める。
- 本組合において保有する情報資産を適切に管理する。
- 職員が情報セキュリティ対策の重要性を認識し、当該対策を適切に実施するために必要な教育を実施する。
- 情報セキュリティ事故が発生した場合又はその予兆があった場合に速やかに対応するため、緊急時対応計画を定める。
- 情報セキュリティ対策実施状況の監査及び自己点検等を通して、定期的に対策の見直しを実施する。
- すべての職員は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たっては、情報セキュリティポリシーを遵守する。
- 地域全体の情報セキュリティの基盤を強化するため、地域における広報啓発や注意喚起、官民の連携・協力等に積極的に貢献する。
令和2年2月
浜田地区広域行政組合 管理者
1 目的
この基本方針は、本組合が保有する情報資産の機密性、完全性及び可用性を維持するため、本組合が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
2 定義
- ネットワーク
コンピュータ等を相互に接続するための通信網及び通信装置(ハードウェア及びソフトウェア)
- 情報システム
コンピュータ及びネットワークで構成された情報処理を行う仕組み
- 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。
- 機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保すること。
- 完全性
情報が破壊、改ざん又は消去されていない状態を確保すること。
- 可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保すること。
- 情報セキュリティポリシー
情報セキュリティ基本方針と情報セキュリティ対策基準の総称
- 個人情報等
本組合が保有する個人情報及び特定個人情報(個人番号を含んだ個人情報)のこと。
3 対象とする脅威
情報資産に対する脅威として以下の内容を想定し、情報セキュリティ対策を実施する。
- 部外者の侵入、不正アクセス、ウイルス攻撃、標的型攻撃等のサイバー攻撃や意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
- 情報資産の無断持ち出し、無許可ソフトウェア使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠落、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
- 地震、落雷、火災等の災害によるサービス及び業務の停止等
- 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
- 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
4 適用範囲
- 組織の範囲
- ア 本庁及び出先機関
- イ 上記に勤務する非正規職員・派遣を含む職員(以下「職員等」という。)
- 情報資産の範囲
- ア ネットワーク、情報システム及びこれらに関する施設、設備
- イ 電磁的記録媒体
- ウ ネットワーク及び情報システムで取り扱う電子データ及びその印刷物
- エ 情報システムの仕様書及びネットワーク図等のシステム関連文書
5 職員等の遵守義務
職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たっては、情報セキュリティポリシー及び実施手順を遵守しなければならない。
6 情報セキュリティ対策
上記3項の脅威から情報資産を保護するため、以下の対策を講じる。
- 組織体制
情報セキュリティ対策を推進する全庁的な組織体制を確立する。
- 情報資産の分類と管理
本組合が保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
- 物理的セキュリティ
情報資産を収容する施設・設備及び職員等が使用するパソコン等情報機器の管理について、物理的な対策を講じる。
- 人的セキュリティ
職員等の情報セキュリティに関する権限や責任を明確にするとともに、情報セキュリティマネジメントに対する意識向上を目的とする教育の実施及び支援体制を確立する。
- 技術的セキュリティ
情報システムの管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
- 運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じる。
また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。
7 情報セキュリティ監査及び自己点検の実施
情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
8 情報セキュリティポリシーの見直し
情報セキュリティ監査及び自己点検の結果、又は情報セキュリティに関する状況の変化に対応するため、新たに対策が必要になった場合は、情報セキュリティポリシーを見直す。
9 情報セキュリティ対策基準の策定
上記6項から8項の対策等を実施するため、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
10 実施手順の策定
情報セキュリティ対策基準に基づいて情報セキュリティ対策を実施するための具体的手順を定めた実施手順を策定する。
11 情報セキュリティポリシー等の公開
- 情報セキュリティ基本方針は、その序文を本組合ホームページにおいて公開し、本組合の情報セキュリティマネジメントの取り組み方を外部に表明する。
- 情報セキュリティ対策基準及び実施手順は、情報セキュリティの脆弱性を顕在化させるおそれがあることから非公開とする。